BMSC dispone de un Centro de Respaldo
Implica que la atención no se inhabilitará por desastres naturales
El Banco Mercantil Santa Cruz S.A. (BMSC), como parte de su plan de Continuidad de Negocio y Recuperación ante Desastres, invirtió en su nuevo “Centro de Respaldo” con tecnología de punta, eficiente en el consumo de energía, que minimiza el impacto ambiental, y único en su tipo dentro del sistema financiero boliviano.
Este nuevo Centro de Respaldo, ubicado estratégicamente en una ciudad distinta al Centro de Cómputo Principal de Procesamiento de Datos, se constituye en un sitio alterno de procesamiento de datos que almacena en línea todas las transacciones realizadas en el banco, señala en un boletín de prensa. Y ante una contingencia, permitirá la disponibilidad e integridad de la información para atender las operaciones comerciales y administrativas de sus clientes y usuarios.
Fabiola Cerveró Ardaya, vicepresidenta de Calidad y Tecnología, explica que cuando el Centro de Cómputo Principal de Procesamiento de Datos se inhabilite por motivos de desastres naturales o fortuitos, convulsión social u otros, el Centro de Respaldo podrá restablecer el Sistema Informático Financiero del Banco, así como también el sistema de Cajeros Automáticos, con lo cual se garantizará la debida atención a los clientes del BMSC al nivel de empresas y bancos internacionales, acotó la ejecutiva.
La disponibilidad de información con la que cuenta este centro se logra mediante una serie de medidas adoptadas en la infraestructura tecnológica que permite, por su flexible arquitectura paramétrica, ofrecer una solución ante contingencia disponible las 24 horas, todo el año.
Fuente: www.la-razon.com
martes, 26 de abril de 2011
lunes, 25 de abril de 2011
Software de Auditoria: Arbutus Analyzer 5
Analyzer es un software de tipo GAS - Software Generalizado de Auditoría, entre las opciones que presenta se tienen las siguientes:
Trabajar con Datos
Relacionar Bases de Datos
Extraer
Exportar
Resumir
Indexar
Ordenar
Unir Bases de Datos
Combinar Bases de Datos
Comparar Bases de DAtos
Trabajar con datos del Servidor
Trabajar con datos en PC local
Analizar
Verificar
Contar
Totalizar
Generar Estadísticas
Estratificar
Clasificar
Antiguedad
Tablas Cruzadas
Ley de Benfors
Análisis de Secuencias
Análisis de faltantes y Duplicados
Muestreo
Tamaño de la muestra
Selección de la muestra
Evaluación de la muestra
Herramientas
Historial (logs) de tablas
Genera Procedimientos en función a los logs
Grabador de Procedimiento
Escribir Scripts Personalizados
Compatibilidad con scripts ACL
Fuente: Ayuda del Software
Descargar Trial de Arbutus Analyzer
www.arbutussoftware.es
ANALYZER
Analyzer ha sido diseñado para ofrecer a los usuarios finales la distancia más corta entre sus preguntas y los datos que contienen las respuestas.
Esto se consigue mediante una interfaz que incluye un gran número de analíticas que permiten realizar análisis sofisticados con independencia del personal de IT. Según sean las necesidades, los análisis se pueden realizarse de forma interactiva o configurarse para funcionar en un entorno automatizado.
A diferencia de las herramientas tradicionales de manipulación de datos como Access o Excel, la interfaz de usuario de Analyzer está específicamente diseñada para hacer frente a la realidad del acceso directo a datos heredados. Analyzer utiliza una interfaz con un formato familiar de hoja de cálculo para navegar, analizar o crear informes, haciendo que parezca como si ya estuvieran en un data warehouse.
Beneficios clave en cuanto al acceso a datos
* Panel de control de acceso a prácticamente todos los datos de la organización, desde las modernas bases de datos relacionales hasta complejos sistemas heredados de mainframe sin ETL, datos disponibilizados o infraestructura adicional
* Las fuentes de datos heredados pueden combinarse fácilmente con otras bases de datos para crear una visión unificada de datos que necesita
* Los archivos DB2, IMS, VSAM, ISAM, archivos planos secuenciales (QSAM) y datos de AS/400 se pueden integrar en Arbutus Analyzer
* Una gama completa de herramientas que permiten implementar reglas de negocio en las definiciones de los datos
Beneficios clave en cuanto al análisis de datos
* Una interfaz del aspecto familiar de hoja de cálculo facilita la sencillez del análisis de datos, incluso de aquellos procedentes del mainframe
* Sin limitación en cuanto al tamaño de los archivos
* Las columnas virtuales permiten que cualquier cálculo o reglas de negocio aparezcan como columnas, incluso cuando se accede a fuentes de datos heredados
* Potentes comandos para la manipulación y análisis de datos que permiten realizar las tareas más avanzadas
* Avanzadas funcionalidades para la definición y procesado de datos que amplían el valor que puede obtenerse de fuentes de datos heredados
Beneficios clave para IT o el administrador
* Permite un control centralizado de la instalación y administración de las definiciones de datos y el acceso de los usuarios finales
* Los datos se encuentran protegidos, ya que Analyzer sólo permite la lectura de datos (“read-only” access)
* No se requiere programación para realizar muchos tipos de informes y análisis
* El asistente para la definición de datos le guía a través de la creación de metadatos
* La conversión automatizada de metadatos facilita una rápida definición de datos en la mayoría de los casos
* Una capa semántica completa permite la personalización de los nombres de tablas y columnas
* El lenguaje opcional de Arbutus está específicamente diseñado para el análisis de datos. Esto significa que se pueden desarrollar sofisticadas aplicaciones en un corto período de tiempo y un mínimo de líneas de código
Quiénes forman parte de la Compañía:
Grant Brodie, CA, Presidente
Grant tiene más de 30 años de experiencia en el desarrollo y gestión en los sectores de acceso y análisis de datos. Los conocimientos de Grant se centran en la tecnología de auditoría, primero con Deloitte y más tarde como fundador de ACL Services Ltd, uno de los líderes en software de auditoría. Grant fue el arquitecto del ACL para Windows, el software insignia y líder en el mercado de ACL. Su pasión por el desarrollo de productos orientado a las necesidades de los clientes ha permitido a Arbutus continuar proporcionando potentes funcinalidades de análisis para un amplio espectro de profesionales.
Connie Showell, vicepresidente de Desarrollo
Connie tiene más de 25 años de experiencia en el desarrollo de tecnología de análisis de datos de mainframes y otros servidores. Pasó muchos años como directora de software para el producto de ACL para mainframes. Desde 2003 y bajo el liderazgo de Connie, Arbutus ha continuado ampliando sus funcionalidades y mejorando el rendimiento de la tecnología de mainframe heredada de ACL. Bajo su dirección, los productos de Arbutus para otros servidores, especialmente AS/400 y Windows, se han convertido en componentes esenciales de la oferta de Arbutus.
Fuente: www.arbutussoftware.es
Esto se consigue mediante una interfaz que incluye un gran número de analíticas que permiten realizar análisis sofisticados con independencia del personal de IT. Según sean las necesidades, los análisis se pueden realizarse de forma interactiva o configurarse para funcionar en un entorno automatizado.
A diferencia de las herramientas tradicionales de manipulación de datos como Access o Excel, la interfaz de usuario de Analyzer está específicamente diseñada para hacer frente a la realidad del acceso directo a datos heredados. Analyzer utiliza una interfaz con un formato familiar de hoja de cálculo para navegar, analizar o crear informes, haciendo que parezca como si ya estuvieran en un data warehouse.
Beneficios clave en cuanto al acceso a datos
* Panel de control de acceso a prácticamente todos los datos de la organización, desde las modernas bases de datos relacionales hasta complejos sistemas heredados de mainframe sin ETL, datos disponibilizados o infraestructura adicional
* Las fuentes de datos heredados pueden combinarse fácilmente con otras bases de datos para crear una visión unificada de datos que necesita
* Los archivos DB2, IMS, VSAM, ISAM, archivos planos secuenciales (QSAM) y datos de AS/400 se pueden integrar en Arbutus Analyzer
* Una gama completa de herramientas que permiten implementar reglas de negocio en las definiciones de los datos
Beneficios clave en cuanto al análisis de datos
* Una interfaz del aspecto familiar de hoja de cálculo facilita la sencillez del análisis de datos, incluso de aquellos procedentes del mainframe
* Sin limitación en cuanto al tamaño de los archivos
* Las columnas virtuales permiten que cualquier cálculo o reglas de negocio aparezcan como columnas, incluso cuando se accede a fuentes de datos heredados
* Potentes comandos para la manipulación y análisis de datos que permiten realizar las tareas más avanzadas
* Avanzadas funcionalidades para la definición y procesado de datos que amplían el valor que puede obtenerse de fuentes de datos heredados
Beneficios clave para IT o el administrador
* Permite un control centralizado de la instalación y administración de las definiciones de datos y el acceso de los usuarios finales
* Los datos se encuentran protegidos, ya que Analyzer sólo permite la lectura de datos (“read-only” access)
* No se requiere programación para realizar muchos tipos de informes y análisis
* El asistente para la definición de datos le guía a través de la creación de metadatos
* La conversión automatizada de metadatos facilita una rápida definición de datos en la mayoría de los casos
* Una capa semántica completa permite la personalización de los nombres de tablas y columnas
* El lenguaje opcional de Arbutus está específicamente diseñado para el análisis de datos. Esto significa que se pueden desarrollar sofisticadas aplicaciones en un corto período de tiempo y un mínimo de líneas de código
Quiénes forman parte de la Compañía:
Grant Brodie, CA, Presidente
Grant tiene más de 30 años de experiencia en el desarrollo y gestión en los sectores de acceso y análisis de datos. Los conocimientos de Grant se centran en la tecnología de auditoría, primero con Deloitte y más tarde como fundador de ACL Services Ltd, uno de los líderes en software de auditoría. Grant fue el arquitecto del ACL para Windows, el software insignia y líder en el mercado de ACL. Su pasión por el desarrollo de productos orientado a las necesidades de los clientes ha permitido a Arbutus continuar proporcionando potentes funcinalidades de análisis para un amplio espectro de profesionales.
Connie Showell, vicepresidente de Desarrollo
Connie tiene más de 25 años de experiencia en el desarrollo de tecnología de análisis de datos de mainframes y otros servidores. Pasó muchos años como directora de software para el producto de ACL para mainframes. Desde 2003 y bajo el liderazgo de Connie, Arbutus ha continuado ampliando sus funcionalidades y mejorando el rendimiento de la tecnología de mainframe heredada de ACL. Bajo su dirección, los productos de Arbutus para otros servidores, especialmente AS/400 y Windows, se han convertido en componentes esenciales de la oferta de Arbutus.
Fuente: www.arbutussoftware.es
Caso Jaime: cómo recuperaron los mails de los discos rígidos
Los peritos usaron EnCase Forensic Tool, un software muy poderoso y reconocido internacionalmente. Cómo fueron los pasos.
Por Ricardo Braginski
Cuando Ricardo Jaime y sus asesores borraron los mails de sus computadoras lo que menos habrán pensado es que la información iba a quedar guardada, de todos modos, en los discos rígidos de esas máquinas.
Esto es así porque los e-mails, así como otros archivos digitales, están compuestos básicamente por dos partes: un encabezado (muestra datos del documento), más el contenido en sí del archivo.
Cada vez que el usuario “vacía la papelera” del programa de mail o del sistema operativo, lo que en realidad está haciendo es colocarle una serie de números ceros al encabezado. El resto de la información queda guardada, sin modificación, en el disco. Estos ceros funcionan como un semáforo verde que le indican al sistema que allí pueden reemplazar esa información por nueva. Pero hasta tanto el usuario no cree nuevos archivos la información queda almacenada, y se puede recuperar con las herramientas adecuadas.
Para lograrlo, los peritos propuestos por la Universidad de Buenos Aires –a pedido del juez– usaron el software EnCase Forensic Tool , una herramienta reconocida a nivel internacional y muy poderosa para estas tareas. Con el soft, lograron recuperar el contenido de los archivos, reconstruir los mails y otros documentos y rastrear cierto material a partir de palabras claves. Un primer peritaje, hecho por la Policía Federal, no había encontrado material significativo .
Antes, los peritos debieron hacer una copia del contenido “bit a bit” , un procedimiento que garantiza el copiado exacto de los datos. Y para evitar posibles contaminaciones de la muestra, le aplicaron “bloqueadores de escritura de hardware” , dispositivos que “sellan” el disco y evitan el ingreso de nuevos datos.
Según consta en el informe pericial, los especialistas debieron buscar “ciertos patrones” relacionados a “la compraventa, traslado, viajes, encomiendas, alquiler y/o otra operación comercial o particular” respecto del avión Lear Jet 31A matrícula N786YA, el barco “Altamar”, modelo 64 o Sixty Four y la embarcación “Capricornio”, matrícula DL2153AC.
Para eso rastrearon veinte palabras claves , entre las que se destacan Julián Vazquez, Manuel Vazquez, Ricardo Jaime, Pegasus Equity Investments S.A., Elkrest Investments Limited, Banco of Utah o Bank of Utah, Sailing Barcos, Dalia Ventures LLC, Altamar Yacht S.A. y Atenea Services S.A.
El software entregó una enorme cantidad de datos. El procesamiento se hizo con el soft Analyzer de la empresa Arbutus Software. Si algún archivo tenía contraseñas , abrieron el candado con el Password Recovery Toolkit .
Jaime podría haber evitado el descubrimiento de este material, si hubiera aplicado sobre esos datos el procedimiento conocido como “borrado de bajo nivel” . No lo hizo y ahora los mails salieron a la luz, con unos simples pases de tecnología informática.
Fuente: www.peritajeinformatica.com.ar
Por Ricardo Braginski
Cuando Ricardo Jaime y sus asesores borraron los mails de sus computadoras lo que menos habrán pensado es que la información iba a quedar guardada, de todos modos, en los discos rígidos de esas máquinas.
Esto es así porque los e-mails, así como otros archivos digitales, están compuestos básicamente por dos partes: un encabezado (muestra datos del documento), más el contenido en sí del archivo.
Cada vez que el usuario “vacía la papelera” del programa de mail o del sistema operativo, lo que en realidad está haciendo es colocarle una serie de números ceros al encabezado. El resto de la información queda guardada, sin modificación, en el disco. Estos ceros funcionan como un semáforo verde que le indican al sistema que allí pueden reemplazar esa información por nueva. Pero hasta tanto el usuario no cree nuevos archivos la información queda almacenada, y se puede recuperar con las herramientas adecuadas.
Para lograrlo, los peritos propuestos por la Universidad de Buenos Aires –a pedido del juez– usaron el software EnCase Forensic Tool , una herramienta reconocida a nivel internacional y muy poderosa para estas tareas. Con el soft, lograron recuperar el contenido de los archivos, reconstruir los mails y otros documentos y rastrear cierto material a partir de palabras claves. Un primer peritaje, hecho por la Policía Federal, no había encontrado material significativo .
Antes, los peritos debieron hacer una copia del contenido “bit a bit” , un procedimiento que garantiza el copiado exacto de los datos. Y para evitar posibles contaminaciones de la muestra, le aplicaron “bloqueadores de escritura de hardware” , dispositivos que “sellan” el disco y evitan el ingreso de nuevos datos.
Según consta en el informe pericial, los especialistas debieron buscar “ciertos patrones” relacionados a “la compraventa, traslado, viajes, encomiendas, alquiler y/o otra operación comercial o particular” respecto del avión Lear Jet 31A matrícula N786YA, el barco “Altamar”, modelo 64 o Sixty Four y la embarcación “Capricornio”, matrícula DL2153AC.
Para eso rastrearon veinte palabras claves , entre las que se destacan Julián Vazquez, Manuel Vazquez, Ricardo Jaime, Pegasus Equity Investments S.A., Elkrest Investments Limited, Banco of Utah o Bank of Utah, Sailing Barcos, Dalia Ventures LLC, Altamar Yacht S.A. y Atenea Services S.A.
El software entregó una enorme cantidad de datos. El procesamiento se hizo con el soft Analyzer de la empresa Arbutus Software. Si algún archivo tenía contraseñas , abrieron el candado con el Password Recovery Toolkit .
Jaime podría haber evitado el descubrimiento de este material, si hubiera aplicado sobre esos datos el procedimiento conocido como “borrado de bajo nivel” . No lo hizo y ahora los mails salieron a la luz, con unos simples pases de tecnología informática.
Fuente: www.peritajeinformatica.com.ar
domingo, 17 de abril de 2011
Cursos CAATTs Modalidad Virtual
Cursos CAATTs Modalidad Virtual mediante plataforma GoToMeeting.
Las ventajas que ofrecemos son:
* Capacitación sin necesidad de desplazarte de tu lugar de residencia.
* Se puede realizar desde cualquier parte del mundo.
* Interacción directa con el facilitador como si fuera un curso presencial, ya que se interactúa con el expositor, se lo pude ver, escuchar, y preguntarle todas las dudas.
* Material en formato digital el cual podras descargarlo y tenerlo para futuras referencias.
* Fechas y Horarios Flexibles
CURSOS CAATTs MODALIDAD VIRTUAL
Los cursos que ofertamos tienen una carga horaria de 10 Horas
* Curso IDEA
* Curso ACL
* Muestreo para Auditoria y Control
* Auditoria Contínua
* CAATTs con Software Libre
* Software Generalizado de Auditoria
* Auditoria de Sistemas TI
Contacto:
Fuente: www.caatts.com.ar
Las ventajas que ofrecemos son:
* Capacitación sin necesidad de desplazarte de tu lugar de residencia.
* Se puede realizar desde cualquier parte del mundo.
* Interacción directa con el facilitador como si fuera un curso presencial, ya que se interactúa con el expositor, se lo pude ver, escuchar, y preguntarle todas las dudas.
* Material en formato digital el cual podras descargarlo y tenerlo para futuras referencias.
* Fechas y Horarios Flexibles
CURSOS CAATTs MODALIDAD VIRTUAL
Los cursos que ofertamos tienen una carga horaria de 10 Horas
* Curso IDEA
* Curso ACL
* Muestreo para Auditoria y Control
* Auditoria Contínua
* CAATTs con Software Libre
* Software Generalizado de Auditoria
* Auditoria de Sistemas TI
Contacto:
Fuente: www.caatts.com.ar
sábado, 16 de abril de 2011
IDEA 8.5
Entre las mejoras más importantes se tienen:
* Se ha reescrito la ayuda completa del editor de lenguaje de IDEAScript que ahora permite búsquedas y puede accederse desde el menú de Ayuda de IDEA.
* Se mejoró el conversor de PDF que ahora integra y accede a muchos PDF no estándares
* Las hojas de Excel 2010 ahora pueden importarse en IDEA.
* La importación de archivos delimitados permite ahora dos caracteres como delimitador de campos.
* Las funcionalidades de "Exportación a Microsoft Access 2007-2010" y de "Importación directa de Bases de Datos Microsoft Access 2007-2010" han sido eliminadas de IDEA.
* Se incluyó el SmartExporter que es un componente opcional de IDEA se utiliza para exportar y preparar automáticamente sus datos de SAP.
* IDEA V 8.4 se certificó para Windows 7
* Se han aumentado los límites máximos a 2,000 columnas por 50,000 filas para las Tablas Pivot.
* Se ha mejorado el rendimiento de la Tabla Pivot.
* Control y ajuste del rendimiento del Panorama del proyecto.
* Todas las @Funciones comienzan con letra mayúscula en el editor de ecuaciones
* Nuevos cálculos para los límites mínimos y máximos en la Ley de Benford.
* Mejoras en la importación de Excel 2007.
* Mejoras en múltiples funciones.
* IDEA Modo Servidor Único - (basado en el cliente de IDEA 8.4) permite a los usuarios ejecutar tareas exclusivamente en la plataforma IDEA Server. Esta versión está especialmente orientada a usuarios utilizando Citrix u otros software de acceso remoto. Limita la apertura y ejecución de tareas únicamente para las bases de datos de IDEA Server. No permite abrir bases de datos, ya sea desde el Explorador de Archivos o desde el Explorador de Windows, o ejecutar tareas sobre bases de datos locales. Requiere IDEA Server: dado que no se permite el trabajo en modo local en el PC cliente, se requiere tener instalado IDEA Server.
Fuente: www.safecg.com
Link para descargar IDEA 8.5 versión DEMO
Demo IDEA 8.5
Esta versión demo del software posee todas las funcionalidades de la versión full, aunque está restringida a acceder sólo a los primeros 1,000 (un mil) registros de la base de datos qque esté usted analizando.
Link para descargar SmartAnalyzer:
Demo Smart Analyzer
Smart Analyzer es una suite de macros preparada especialmente para trabajar con IDEA a partir de su versión 8.x, y que les ayudará a incrementar el alcance de sus pruebas a través de scripts especialmente desarrollados para ser ejecutados sobre la información contable.
Fuente: http://sams2000.com
viernes, 15 de abril de 2011
SEGURIDAD DE INFORMACION PARA PyMES
Después de muchos años de estándares de seguridad (o buenas prácticas) dirigidos a corporaciones se está girando la mirada a las PyMES debido a su aporte económico (En Argentina representan cerca del 60% del PIB).
Otro caso en el que se le está dando la importancia debida a las PyMES es la "Mejora de procesos de Software para pequeñas empresas" como es COMPETISOFT y también el "Modelo de ciclo de vida de software para pequeñas empresas" ISO/IEC 29110.
Ya hablando de la NISTIR 7621, a muchos les parecerán recomendaciones muy obvias pero las PyMES seguramente valorarán en alto grado este documento si lo aplican. En 20 páginas incluidos los 3 anexos se presenta los fundementos básicos de seguridad de información para una PyME.
A continuación una traducción del índice del documento:
SEGURIDAD DE INFORMACION PARA PyMES(*): LOS FUNDAMENTOS
NISTIR 7621
Richard Kissel
Octubre 2009
Acciones "absolutamente necesarias" que las PyMES deberían tomar para proteger su información, sistemas y redes.
1. Proteger información/sistemas/redes del daño de virus, spyware y otros códigos maliciosos.
2. Proveer seguridad a las conexiones de Internet.
3. Instalar y activar programas firewalls en todos los sistemas del negocio.
4. Parchar los sistemas operativos y las aplicaciones.
5. Realizar copias de seguridad de los datos/información importantes.
6. Controlar el acceso físico a las computadoras y a los componentes de la red.
7. Securizar/asegurar los puntos de acceso de la red inalámbrica y de las redes.
8. Entrenar a los empleados en principios básicos de seguridad.
9. Requerir cuentas de usuario individual para cada empleado en las computadoras del negocio y para las aplicaciones de negocio.
10. Limitar el acceso de empleados a datos e información y limitar la autorización para instalar software.
Prácticas altamente recomendadas
1. Preocuparse acerca de la seguridad de los adjuntos de email y petición de emails con información sensible.
2. Preocuparse acerca de los enlaces web en los emails, mensajería instantánea, redes sociales y otros.
3. Preocuparse acerca de ventanas emergentes y otros trucos de hackers.
4. Hacer los negocios en linea o banca más segura.
5. Prácticas de personal recomendadas al contratar empleados.
6. Consideraciones de seguridad para la navegación web.
7. Problemas en descargas de software de Internet.
8. Como conseguir ayuda con la seguridad de información cuando lo necesites.
9. Como deshacerse de computadoras y medios de almacenamientos viejos
10. Como protegerse contra la Ingenieria Social
Otras consideraciones para información, computación y seguridad en redes.
1. Consideraciones de Planes de Contingencia y Recuperación de Desastres.
2. Consideraciones de anulación de costos en seguridad de información.
3. Políticas de negocio relacionadas a seguridad de información y otros tópicos.
Apéndice A: Identificando y priorizando los tipos de información de tu organización
Apéndice B: Identificando la protección necesaria para las prioridades por tipos de información de tu organización
Apéndice C: Estimando los costos de que sucedan cosas malas a la información importante del negocio.
(*) La traducción literal de "Samll business" es "pequeños negocios" sin embargo se optó en vez de esta por PyMES.
Descargar el documento completo (pdf)
Otro caso en el que se le está dando la importancia debida a las PyMES es la "Mejora de procesos de Software para pequeñas empresas" como es COMPETISOFT y también el "Modelo de ciclo de vida de software para pequeñas empresas" ISO/IEC 29110.
Ya hablando de la NISTIR 7621, a muchos les parecerán recomendaciones muy obvias pero las PyMES seguramente valorarán en alto grado este documento si lo aplican. En 20 páginas incluidos los 3 anexos se presenta los fundementos básicos de seguridad de información para una PyME.
A continuación una traducción del índice del documento:
SEGURIDAD DE INFORMACION PARA PyMES(*): LOS FUNDAMENTOS
NISTIR 7621
Richard Kissel
Octubre 2009
Acciones "absolutamente necesarias" que las PyMES deberían tomar para proteger su información, sistemas y redes.
1. Proteger información/sistemas/redes del daño de virus, spyware y otros códigos maliciosos.
2. Proveer seguridad a las conexiones de Internet.
3. Instalar y activar programas firewalls en todos los sistemas del negocio.
4. Parchar los sistemas operativos y las aplicaciones.
5. Realizar copias de seguridad de los datos/información importantes.
6. Controlar el acceso físico a las computadoras y a los componentes de la red.
7. Securizar/asegurar los puntos de acceso de la red inalámbrica y de las redes.
8. Entrenar a los empleados en principios básicos de seguridad.
9. Requerir cuentas de usuario individual para cada empleado en las computadoras del negocio y para las aplicaciones de negocio.
10. Limitar el acceso de empleados a datos e información y limitar la autorización para instalar software.
Prácticas altamente recomendadas
1. Preocuparse acerca de la seguridad de los adjuntos de email y petición de emails con información sensible.
2. Preocuparse acerca de los enlaces web en los emails, mensajería instantánea, redes sociales y otros.
3. Preocuparse acerca de ventanas emergentes y otros trucos de hackers.
4. Hacer los negocios en linea o banca más segura.
5. Prácticas de personal recomendadas al contratar empleados.
6. Consideraciones de seguridad para la navegación web.
7. Problemas en descargas de software de Internet.
8. Como conseguir ayuda con la seguridad de información cuando lo necesites.
9. Como deshacerse de computadoras y medios de almacenamientos viejos
10. Como protegerse contra la Ingenieria Social
Otras consideraciones para información, computación y seguridad en redes.
1. Consideraciones de Planes de Contingencia y Recuperación de Desastres.
2. Consideraciones de anulación de costos en seguridad de información.
3. Políticas de negocio relacionadas a seguridad de información y otros tópicos.
Apéndice A: Identificando y priorizando los tipos de información de tu organización
Apéndice B: Identificando la protección necesaria para las prioridades por tipos de información de tu organización
Apéndice C: Estimando los costos de que sucedan cosas malas a la información importante del negocio.
(*) La traducción literal de "Samll business" es "pequeños negocios" sin embargo se optó en vez de esta por PyMES.
Descargar el documento completo (pdf)
jueves, 7 de abril de 2011
Continuidad del Negocio para PyMES
Como prepararse:
* Backup de datos electrónicos
Las PyMES pueden utilizar algunas herramientas para respaldar sus datos de las PCs en forma casi instantánea en la "nube". Pero claro deben tomarse las medidas necesarias de seguridad si la información es sensible o estratégica.
* Backup de documentos basados en papel
Las PyMES con las actuales tecnologías tienen la posibilidad de eliminar casi completamente la utilización del papel (paperless) en sus operaciones diarias y transferir todo a formatos digitales, para los casos en que la documentación en papel "debe" mantenerse, esta puede ser escaneada para propósitos de continuidad del negocio.
* Sistio alternativo para las oficinas
En muchos de los casos será suficiente con que los trabajadores puedan realizar su trabajo desde sus hogares, pero el requisito será que estos tengan acceso computadoras/laptos/smarthpones e Internet con la debida seguridad implementada (Ej. las 2 semanas de alerta el año 2009 por la gripe H1N1 en la Argentina). Si el trabajo desde el hogar no es posible, siempre se puede optar por opciones rentadas (Ej. habitaciones de hotel u oficinas alquiladas por horas)
* Hardware
Si no es el caso de computadoas especiales para el uso en el negocio, será muy fácil encontrar una alternativa, (computadoras de casa o alquiler de las mismas).
* Equipo de trabajo ó Humanware backup
Quizá el elemento más importante y difícil de implementar.
Supongamos que un empleado clave no está disponibles, y por tanto es el la única persona que conoce ciertos aspectos (ej. contraseñas administrativas, los pasos necesarios para arrancar un proyecto, etc). Para estos casos dicha información deberá estar documentada, de tal manera que se puede utilizar sin que el empleado en cuestión esté presente.
Otro caso podría ser la pérdida de un empleado clave y ningún otro tiene el tiempo o las habilidades necesarias, en estos casos la preparación necesaria debe ser identificada para afrontar y asignar o contratar a otra persona en un corto tiempo. La clave en este punto es identificar a alguien con las habilidades y conocimientos necesarios.
Para concluir: no existe diferencia sustancial entre empresas grandes y pequeñas cuando se habla de continuidad del negocio, ambos tipos de empresas deberían pensar en forma detallada las necesidades para desarrollar la recuperación ante desastres. La diferencia está en el nivel de preparación, las PyMES lo deberán hacier con mucho menos inversión.
Fuente: Traducción parcial de: http://blog.iso27001standard.com/
Cabe mencionar que existen estándares para PyMES, por ejemplo se tiene
ISSA 5173: estándar para la seguridad de la información dirigido a PyMES información dirigido a Pymes
* Backup de datos electrónicos
Las PyMES pueden utilizar algunas herramientas para respaldar sus datos de las PCs en forma casi instantánea en la "nube". Pero claro deben tomarse las medidas necesarias de seguridad si la información es sensible o estratégica.
* Backup de documentos basados en papel
Las PyMES con las actuales tecnologías tienen la posibilidad de eliminar casi completamente la utilización del papel (paperless) en sus operaciones diarias y transferir todo a formatos digitales, para los casos en que la documentación en papel "debe" mantenerse, esta puede ser escaneada para propósitos de continuidad del negocio.
* Sistio alternativo para las oficinas
En muchos de los casos será suficiente con que los trabajadores puedan realizar su trabajo desde sus hogares, pero el requisito será que estos tengan acceso computadoras/laptos/smarthpones e Internet con la debida seguridad implementada (Ej. las 2 semanas de alerta el año 2009 por la gripe H1N1 en la Argentina). Si el trabajo desde el hogar no es posible, siempre se puede optar por opciones rentadas (Ej. habitaciones de hotel u oficinas alquiladas por horas)
* Hardware
Si no es el caso de computadoas especiales para el uso en el negocio, será muy fácil encontrar una alternativa, (computadoras de casa o alquiler de las mismas).
* Equipo de trabajo ó Humanware backup
Quizá el elemento más importante y difícil de implementar.
Supongamos que un empleado clave no está disponibles, y por tanto es el la única persona que conoce ciertos aspectos (ej. contraseñas administrativas, los pasos necesarios para arrancar un proyecto, etc). Para estos casos dicha información deberá estar documentada, de tal manera que se puede utilizar sin que el empleado en cuestión esté presente.
Otro caso podría ser la pérdida de un empleado clave y ningún otro tiene el tiempo o las habilidades necesarias, en estos casos la preparación necesaria debe ser identificada para afrontar y asignar o contratar a otra persona en un corto tiempo. La clave en este punto es identificar a alguien con las habilidades y conocimientos necesarios.
Para concluir: no existe diferencia sustancial entre empresas grandes y pequeñas cuando se habla de continuidad del negocio, ambos tipos de empresas deberían pensar en forma detallada las necesidades para desarrollar la recuperación ante desastres. La diferencia está en el nivel de preparación, las PyMES lo deberán hacier con mucho menos inversión.
Fuente: Traducción parcial de: http://blog.iso27001standard.com/
Cabe mencionar que existen estándares para PyMES, por ejemplo se tiene
ISSA 5173: estándar para la seguridad de la información dirigido a PyMES información dirigido a Pymes
Digital Pen ó Lapiceras electrónicas
eLapiceras, Digital Pen ó simplemente "lapiceras electrónicas". En el evento denominado "De la Recolección de Datos al Procesamiento Avanzado de Información" El día 29 de marzo se realizó dicha presentación en el Hotel Radison, uno de los expositores el Ing. Gonzalo Landaeta.
Es una tecnología que utiliza lapiceras con dispositivos electrónicos integrados que está dirigido principalmente a la captura de información sin realizar trabajos extras a la hora de llenar formularios.
Como funciona:
Se necesita un formulario en papel (puede ser el mismo que se usa en las labores cotidianas de una empresa) que esté impreso con un tramado especial que lo hace único (tipo código de barras).
El llenado del formulario se la hace mediante una lapicera electrónica que escribe como cualquier lapicera común y corriente. La información rellenada en el formulario se transmite via Bluetooth o puede permanecer en la lapicera para luego descargarla mediante el dispositivo docking station.
La información alamacenada se transfiere de la lapicera al servidor, puede ser mediante celular, computadora, router.
El servidor puede ser propio (las empresas grandes se pueden permitir esta opción) o los datos se almacenan en la "nube", por ejemplo en los servidores de la empresa que provee el servicio.
A partir de la información ingresada se puede realizar el procesamiento de la información.
Las ventajas:
Permite desarrollar soluciones basadas en papel, manteniendo las copias físicas archivadas.
Se tiene autonomía de desplazamiento, la batería de la lapicera dura mínimo un mes.
Exelente portabilidad, es más fácil manejar una lapicera que un celular/smarthphone.
Acompañado de la portabilidad se tiene la baja inversión en comparación a celulares/smarthphones o PCs/notebooks.
Se puede trabajar con una sola lapicera o se puede individualizar para cada usuario.
Los formularios pueden servir de entrada de datos para sistemas que ya estén en funcionamiento (legacy), ERP, CRM.
Los peros:
La vulnerabilidad que presenta la tecnología Bluetooth, ante la interceptación de información. Sin embargo de esto y a pesar de la molestia del expositor (Ing. Landaeta) ante este cuestionamiento por uno de los asistentes, el expositor consideró este riesgo alejado de la realidad. Cabe mencionar que si la información es sensible, es suceptible de interceptación. A pesar de ello aclaró (el representante de la empresa en Dinamarca) y estuvo muy acerto, que para eliminar ese riesgo se puede transmitir la información vía docking station, además aclaró que la transmisión de información no es en texto plano sino que simplemente se transmiten las coordenadas con respecto al formulario.
El almacenamiento de los datos en la "nube", en Bolivia todavía no tenemos normado este aspecto y si se trata de información confidencial y estratégica se tendría que optar por implementar servidores propios, lo que encarecería el proyecto.
Quienes lo podrían usar: En la charla se menciónó que podría ser bastante útil para:
El relevamiento de información que hace el INE, en especial podría ser útil para el tema del CENSO.
Las instituciones públicas de salud que requieren recabar información de lugares alejados y disponen de recursos económicos para equipar a sus dependencias de PCs/notebooks, smarthphones.
Además mencionaron casos de éxito a nivel mundial.
La demo Se hizo una demostración en vivo, se proporcionó a los asistentes una encuesta para elegir entre tres opciones el personaje más relevante para las próximas elecciones presidenciales, se contestó la encuesta con las lapiceras electrónicas y por suerte la Ley de Murphy no se hizo presente. Casi en forma instantáne pudimos ver los resultados de la encuesta sin necesidad de que se nos pidan las encuestas y las vuelvan a transcribir.
Algunos consejos: Ante el cuestionamiento de un participante que indicó que manejaba su sistema de pedidos via celular el Ing Landaeta le dió un buen consejo que decía más o menos así: Si la solución que estás utilizando te sirve y funciona bien, entonces no la cambies. También mencionó otros aspectos: Que la implementación de las lapiceras no tiene mucho sentido si no es parte de un proyecto serio. La implementación de lapiceras electrónicas y diseño de formularios es una parte del proyecto, lo que viene detrás del formulario es quizás lo más importante, qué se hará con los datos, cómo se los procesará.
Es una tecnología que utiliza lapiceras con dispositivos electrónicos integrados que está dirigido principalmente a la captura de información sin realizar trabajos extras a la hora de llenar formularios.
Como funciona:
Se necesita un formulario en papel (puede ser el mismo que se usa en las labores cotidianas de una empresa) que esté impreso con un tramado especial que lo hace único (tipo código de barras).
El llenado del formulario se la hace mediante una lapicera electrónica que escribe como cualquier lapicera común y corriente. La información rellenada en el formulario se transmite via Bluetooth o puede permanecer en la lapicera para luego descargarla mediante el dispositivo docking station.
La información alamacenada se transfiere de la lapicera al servidor, puede ser mediante celular, computadora, router.
El servidor puede ser propio (las empresas grandes se pueden permitir esta opción) o los datos se almacenan en la "nube", por ejemplo en los servidores de la empresa que provee el servicio.
A partir de la información ingresada se puede realizar el procesamiento de la información.
Las ventajas:
Permite desarrollar soluciones basadas en papel, manteniendo las copias físicas archivadas.
Se tiene autonomía de desplazamiento, la batería de la lapicera dura mínimo un mes.
Exelente portabilidad, es más fácil manejar una lapicera que un celular/smarthphone.
Acompañado de la portabilidad se tiene la baja inversión en comparación a celulares/smarthphones o PCs/notebooks.
Se puede trabajar con una sola lapicera o se puede individualizar para cada usuario.
Los formularios pueden servir de entrada de datos para sistemas que ya estén en funcionamiento (legacy), ERP, CRM.
Los peros:
La vulnerabilidad que presenta la tecnología Bluetooth, ante la interceptación de información. Sin embargo de esto y a pesar de la molestia del expositor (Ing. Landaeta) ante este cuestionamiento por uno de los asistentes, el expositor consideró este riesgo alejado de la realidad. Cabe mencionar que si la información es sensible, es suceptible de interceptación. A pesar de ello aclaró (el representante de la empresa en Dinamarca) y estuvo muy acerto, que para eliminar ese riesgo se puede transmitir la información vía docking station, además aclaró que la transmisión de información no es en texto plano sino que simplemente se transmiten las coordenadas con respecto al formulario.
El almacenamiento de los datos en la "nube", en Bolivia todavía no tenemos normado este aspecto y si se trata de información confidencial y estratégica se tendría que optar por implementar servidores propios, lo que encarecería el proyecto.
Quienes lo podrían usar: En la charla se menciónó que podría ser bastante útil para:
El relevamiento de información que hace el INE, en especial podría ser útil para el tema del CENSO.
Las instituciones públicas de salud que requieren recabar información de lugares alejados y disponen de recursos económicos para equipar a sus dependencias de PCs/notebooks, smarthphones.
Además mencionaron casos de éxito a nivel mundial.
La demo Se hizo una demostración en vivo, se proporcionó a los asistentes una encuesta para elegir entre tres opciones el personaje más relevante para las próximas elecciones presidenciales, se contestó la encuesta con las lapiceras electrónicas y por suerte la Ley de Murphy no se hizo presente. Casi en forma instantáne pudimos ver los resultados de la encuesta sin necesidad de que se nos pidan las encuestas y las vuelvan a transcribir.
Algunos consejos: Ante el cuestionamiento de un participante que indicó que manejaba su sistema de pedidos via celular el Ing Landaeta le dió un buen consejo que decía más o menos así: Si la solución que estás utilizando te sirve y funciona bien, entonces no la cambies. También mencionó otros aspectos: Que la implementación de las lapiceras no tiene mucho sentido si no es parte de un proyecto serio. La implementación de lapiceras electrónicas y diseño de formularios es una parte del proyecto, lo que viene detrás del formulario es quizás lo más importante, qué se hará con los datos, cómo se los procesará.
Suscribirse a:
Entradas (Atom)
