definiciÓn de polÍticas de seguridad y desarrollo de...

1

DEFINICIÓN DE POLÍTICAS DE SEGURIDAD Y DESARROLLO DE APLICACIÓN PARA SOLICITUD DE SERVICIOS ENTRE DEPENDENCIAS

INTERNAS EN LA ALCALDÍA DE LA VIRGINIA (RISARALDA)-2009.

MANUEL ALEJANDRO PALACIO CASTAÑO

UNIVERSIDAD CATÓLICA POPULAR DEL RISARALDA PROGRAMA DE INGENIERIA DE SISTEMAS Y TELECOMUNICACIONES

PRÁCTICAS PROFESIONALES PEREIRA

2009

2



MANUEL ALEJANDRO PALACIO CASTAÑO

Informe de Práctica Profesional

Tutor LUIS ALEJANDRO FLETSCHER BOCANEGRA Ingeniero en Electrónica y Telecomunicaciones

UNIVERSIDAD CATÓLICA POPULAR DEL RISARALDA PROGRAMA DE INGENIERIA DE SISTEMAS Y TELECOMUNICACIONES

PRÁCTICAS PROFESIONALES PEREIRA

2009

3

AGRADECIMIENTOS

Agradezco a la Alcaldía municipal de la Virginia (Risaralda), por brindarme la oportunidad y la confianza de realizar la práctica profesional y con esta aplicar los conocimientos adquiridos durante mi carrera y acogerme de una forma tan grata y placentera.

Quiero expresar también mis sinceros agradecimientos a los Ingenieros Jorge Eliecer Calle Naranjo y Luis Alejandro Fletscher Bocanegra por brindarme la asesoría y parte de su tiempo acompañándome en los procesos realizados en la Alcaldía municipal, compartiendo sus conocimientos y la confianza puesta en mi trabajo.

4

CONTENIDO

INTRODUCCION .......................................................................................................... 14

1. PRESENTACIÓN DE LA ORGANIZACIÓN ................................................. 15

1.1. Misión ................................................................................................................. 15

1.2. Visión .................................................................................................................. 15

1.3. Funciones .......................................................................................................... 16

1.4. Organigrama ...................................................................................................... 17

1.5. Información Practicante ................................................................................... 19

1.6. Área a la que pertenece .................................................................................. 19

1.6.1. Misión: ................................................................................................................ 19

1.6.2. Objetivos ............................................................................................................ 19

2. LÍNEA DE INTERVENCIÓN ............................................................................ 21

3. DIAGNÓSTICO DEL ÁREA DE INTERVENCIÓN O IDENTIFICACIÓN

DE LAS NECESIDADES ............................................................................................. 22

4. EJES DE INTERVENCIÓN .............................................................................. 23

4.1. Sistematización del proceso de solicitudes entre dependencias. ............ 23

4.2. Diseño de políticas de seguridad para la organización. ............................. 23

4.3. Capacitación a los funcionarios...................................................................... 23

5. JUSTIFICACIÓN DEL EJE DE INTERVENCIÓN ........................................ 24

6. OBJETIVO GENERAL ...................................................................................... 25

7. OBJETIVOS ESPECÍFICOS ........................................................................... 26

8. REFERENTE CONCEPTUAL ......................................................................... 27

5

9. Presentación y Análisis de los Resultados ................................................... 38

9.1. Diagnostico ........................................................................................................ 38

9.2. Políticas de Seguridad ..................................................................................... 43

9.2.1. Equipos de cómputo ........................................................................................ 43

9.2.2. Actualización del Equipo. ................................................................................ 44

9.2.3. Reubicación del Equipo de Cómputo. ........................................................... 44

9.2.4. Acceso a áreas críticas. .................................................................................. 45

9.2.5. Control de acceso al equipo de cómputo. .................................................... 45

9.2.6. Control de usuarios. ......................................................................................... 45

9.2.7. Manejo de contraseñas ................................................................................... 46

9.2.8. Control de acceso local a la red. .................................................................... 46

9.2.9. Control de acceso remoto. .............................................................................. 47

9.2.10Acceso a los sistemas administrativos. ......................................................... 47

9.2.11 Web. .................................................................................................................... 47

9.2.12 Utilización de los recursos de la red .............................................................. 48

9.2.13 Instalación de software. ................................................................................... 48

9.2.14 Actualización del software. .............................................................................. 49

9.2.15 Copias de seguridad ........................................................................................ 49

9.2.16 Auditoría de software instalado. ..................................................................... 49

9.2.17 Supervisión y evaluación ................................................................................. 50

9.2.18 Generales. ......................................................................................................... 51

9.2.19 Sanciones. ......................................................................................................... 51

9.2.20 Capacitación ...................................................................................................... 51

6

9.3. Ingeniería de Software ..................................................................................... 52

9.3.1. Descripción general .......................................................................................... 52

9.3.2. Vista general del proyecto ............................................................................... 53

9.3.3. Objetivos ............................................................................................................ 53

9.3.4. Suposiciones y restricciones del producto ................................................... 54

9.3.5. Organización del proyecto .............................................................................. 55

9.3.6. Gestión del proceso ......................................................................................... 56

9.3.7. Plan del proyecto .............................................................................................. 56

9.3.8. Sistema de control del proyecto ..................................................................... 57

9.3.9. Modelo de Casos de Uso del Sistema .......................................................... 57

9.3.10 Modelo de Casos de Uso ................................................................................ 63

9.3.11 Prototipos de Interfaces de Usuarios ............................................................ 64

10. CONCLUSIONES .............................................................................................. 68

RECOMENDACIONES ............................................................................................... 69

BIBLIOGRAFIA ............................................................................................................. 70

APÉNDICES .................................................................................................................. 71

ANEXOS ........................................................................................................................ 83

7

LISTA DE TABLAS

Tabla 1 Inventario licencias y equipos informáticos .......................................... 42

Tabla 2 Nombre de secretarias de la Alcaldía .................................................. 52

Tabla 3 Funciones a desarrollar ........................................................................ 55

Tabla 4 Usuario administrativo ......................................................................... 57

Tabla 5 Usuario Normal .................................................................................... 58

Tabla 6 Caso de uso Base de Datos ................................................................ 58

Tabla 7 Caso de uso Validar usuario ................................................................ 58

Tabla 8 Caso de uso Administrar usuario ......................................................... 59

Tabla 9 Caso Enviar Oficio ............................................................................... 60

Tabla 10 Caso de uso consulta de oficio enviados ........................................... 61

Tabla 11 Caso de uso Consulta de oficios respondidos ................................... 61

Tabla 12 Caso de uso Consulta de Oficios recibidos ........................................ 62

Tabla 13 Caso de uso consulta de oficio por usuario ....................................... 62

8

LISTA DE FIGURAS

Figura 1 Estructura Organizacional ................................................................... 17

Figura 2 Modelos de Entidad Relación ............................................................. 32

Figura 3 modelo de caso de uso ....................................................................... 63

Figura 4 Interface validar usuario ...................................................................... 64

Figura 5 Interface de usuario menú 1 ............................................................... 64

Figura 6 Interface de usuario menú 2 ............................................................... 65

Figura 7 Interface de usuario Enviar oficio ........................................................ 65

Figura 8 Interface de usuario responder oficio .................................................. 66

Figura 9 Interface de usuario consulta de oficios recibidos .............................. 66

Figura 10 Interface de usuario consulta de oficios respondidos ....................... 67

9

ANEXOS

Anexo A. Política oficial de Seguridad Informática del CICESE.….…………. 83

10

GLOSARIO

APLICACIÓN: En un tipo de programa informático diseñado para facilitar al usuario la realización de un determinado tipo de trabajo. Esto lo diferencia principalmente de otros tipos de programas como los sistemas operativos (que hacen funcionar al computador), las utilidades (que realizan tareas de mantenimiento o de uso general), y los lenguajes de programación (con los cuales se crean los programas informáticos), que realizan tareas más avanzadas y no pertinentes al usuario común. BASE DE DATOS: Base de Datos es un conjunto de datos almacenados no redundante, estructurados, organizados independientemente de su utilización y su implementación en máquina accesibles en tiempo real. LICENCIA: Una licencia es, en Derecho, un contrato mediante el cual una persona recibe de otra el derecho de uso de un determinado software.

POLITICAS DE SEGURIDAD: Es un conjunto de reglas para el mantenimiento de cierto nivel de seguridad. Pueden cubrir cualquier cosa desde buenas prácticas para la seguridad de un solo ordenador y reglas de una empresa

RED: Es un conjunto de equipos (computadoras y/o dispositivos) conectados por medio de cables, señales, ondas o cualquier otro método de transporte de datos, que comparten información (archivos), recursos (CD-ROM, impresoras, etc.) y servicios (acceso a internet, e-mail, chat, juegos), etc. SISTEMAS DE CONTROL: Es un conjunto de elementos que interactúan entre sí con el fin de apoyar las actividades de una empresa o negocio. SISTEMA OPERATIVO: Es un software de sistema, es decir, un conjunto de programas de computación destinados a realizar muchas tareas entre las que destaca la administración eficaz de sus recursos. SOFTWARE: La palabra «software» se refiere al equipamiento lógico o soporte lógico de un computador digital, y comprende el conjunto de los componentes lógicos necesarios para hacer posible la realización de una tarea específica, en contraposición a los componentes físicos del sistema (hardware).

SWITCH: En castellano "conmutador" es un dispositivo analógico de lógica de interconexión de redes de computadoras que opera en la capa 2 (nivel de enlace de datos) del modelo OSI (Open Systems Interconnection). Su función es interconectar dos o más segmentos de red, de manera similar a los puentes (bridges), pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red.

11

TECNOLOGIAS: Es el conjunto de habilidades que permiten construir objetos y máquinas para adaptar el medio y satisfacer nuestras necesidades.

12

RESUMEN

RESUMEN ABSTRACT

El informe de la Práctica tiene como objetico mostrar los aspectos más importantes realizados para el mejoramiento de los procesos existentes en la Alcaldía municipal de la Virginia (Risaralda), con el fin proteger la información y recursos informáticos que posee la administración actual, a través de la definición de unas políticas de seguridad y sistematización de procesos entre sus dependencias. Descriptores: Sistemas de Información, Bases de Datos, Modelo Entidad-Relación, Interfaz de Usuario, Ingeniería del Software, políticas de seguridad.

The report of Practice aims to show the most important events for the improvement of existing processes in the Mayor's municipal Virginia (Risaralda), which aim to protect the information and resources that has the current administration, through the definition of security policies and systematization of processes across departments. Descriptors: Information System, Database, Entity Relationship Model, GUI, Software Engineering, Security Policies.

13



14

INTRODUCCION

La Alcaldía municipal de la Virginia (Risaralda), tiene como propósito llevar a cabo un buen manejo de los recursos públicos y la atención de las responsabilidades que como Estado le corresponde, para brindar a los ciudadanos las condiciones requeridas para mejorar su calidad de vida. La Administración Municipal trabajará arduamente para que los virginianos se sientan satisfechos de vivir en el municipio, buscando la participación de toda la comunidad en la construcción de un futuro, con equidad, sin discriminación y en armonía con el medio ambiente. La cual está encaminada a mejorar sustancialmente las condiciones de vida de todas y todos los virginianos y se elabora a partir de los principios de eficacia, eficiencia, publicidad, transparencia, moralidad, responsabilidad e imparcialidad.

Por esta razón la práctica tuvo como objetivo mejorar con la aplicación de herramientas informáticas ciertos procesos de la administración en donde a partir de un diagnostico realizado se encontraron falencias; planteando a partir de esto actividades que fueron propicias para el mejoramiento de algunas dependencias de dicha entidad.

Para la identificación de las necesidades de la Alcaldía Municipal de la Virginia, se siguió como metodología una observación directa, la cual buscaba generar mayor conocimiento sobre los procesos internos de la organización, a la vez que permitiera identificar aquellos puntos susceptibles de mejora dentro del desarrollo de la práctica.

15

1. PRESENTACIÓN DE LA ORGANIZACIÓN NOMBRE: ALCALDIA MUNICIPAL DE LA VIRGINIA DIRRECCIÓN: CARRERA 8ª N. 7.35 TELEFONO: 3682673 NIT: 891480027-1

1.1. Misión

La Administración municipal propende por la adecuada aplicación y manejo de los recursos públicos y la atención de las responsabilidades que como Estado le corresponde, para brindar a los ciudadanos las condiciones requeridas para mejorar su calidad de vida.

La razón de ser de la Administración Pública Municipal está encaminada a desarrollar una práctica Política fundamentada en la capacidad y la honestidad de la función pública; en la concertación entre trabajadores, empresarios y el Estado; en el compromiso con las necesidades y derechos de las comunidades; en la decisión de transformar y modernizar la estructura productiva del Municipio, en función del desarrollo sostenible, con el compromiso de superar el clientelismo político y la corrupción; en orientar la acción y gestión de la administración municipal hacia el mejoramiento de la calidad de vida y la realización personal de los porteños.

1.2. Visión

La Administración Municipal trabajará arduamente para que las virginianas y virginianos se sientan satisfechos de vivir en nuestro municipio, buscando la participación de toda la comunidad en la construcción de nuestro futuro, con equidad y sin discriminación y en armonía con el medio ambiente. Para ello se realizará con la ciudadanía un pacto programático como alternativa de desarrollo para hacer de La Virginia un municipio participativo, con equidad social y oportunidades para todas y todos, priorizando las necesidades más sentidas de las personas más pobres de nuestro municipio.

16

1.3. Funciones

La Administración Municipal está encaminada a mejorar sustancialmente las condiciones de vida de todas y todos los virginianos y se elabora a partir de los principios de eficacia, eficiencia, publicidad, transparencia, moralidad, responsabilidad e imparcialidad.

• Materializar el programa de gobierno municipal como herramienta de gestión elaborada con la participación de la comunidad, buscando mejorar la calidad de vida de todas y todos los virginianos, así como colocar al municipio en el lugar de importancia que siempre ha tenido en la eco región cafetera.

• Lograr que los proyectos considerados en el Plan de Desarrollo tengan una clara finalidad ética, social y humana para aportar al cumplimiento del compromiso de las metas institucionales.

• Dar un enfoque integrador al Plan de Desarrollo, en el sentido de que en él se incluyan los diferentes aspectos relacionados con la calidad de vida de las y los virginianos.

• Realizar de la manera más adecuada y pertinente la inversión social de los recursos de que dispone la administración municipal.

• Promover distintos procesos de participación comunitaria tendientes a lograr la identidad de los ciudadanos y ciudadanas del área rural y del casco urbano, con las diferentes directrices y orientaciones de desarrollo del municipio.

• Buscar la reactivación de la economía municipal a través del apoyo a las organizaciones de carácter socioeconómico existente, en especial, las relacionadas con el sector de los servicios y el turismo.

• Determinar:

Estrategias teniendo en cuenta las metas locales de la acción estatal a mediano y largo plazo y los procedimientos y mecanismos generales para lograrlos.

Las estrategias y políticas económicas, sociales y ambientales bajo las cuales se guiará la acción de gobierno.

17

Las formas, medios e instrumentos de vinculación y armonización con la planeación sectorial y territorial de otras instancias o niveles territoriales.

• Realizar el Plan Plurianual de Inversiones del Plan de Desarrollo

respectivo, para posibilitar poner en marcha las estrategias y políticas de desarrollo del municipio.

• Facilitar la vigilancia y el control del Plan de Desarrollo por parte de las autoridades e instancias comunitarias consagradas en las disposiciones legales, entre otras, el Consejo Territorial de Planeación y la Veeduría Ciudadana al Plan.

1.4. Organigrama

A continuación se presenta la estructura orgánica de la Alcaldía del municipio de la Virginia

Figura 1 Estructura Organizacional

18

EMPLEADOS DE PLANTA: 54 OBREROS: 9

19

1.5. Información Practicante Nombre: MANUEL ALEJANDRO PALACIO CASTAÑO Interventor: JORGE ELIECER CALLE NARANJO Cargo Jefe Inmediato: Secretario de Gobierno Cargo a Desempeñar: Practicante área de sistemas y

telecomunicaciones.

1.6. Área a la que pertenece SECRETARIA DE GOBIERNO.

1.6.1. Misión: Proponer y ejecutar acciones y políticas tendientes al mantenimiento del orden público y la seguridad ciudadana al interior del municipio, y para la efectiva aplicación de políticas y procedimientos de administración de bienes y de personal.

1.6.2. Objetivos: Orientar ejecutar y controlar las políticas y programas

relacionados con la conservación de orden público, la tranquilidad ciudadana el respeto a los derechos civiles garantías sociales y salvaguarda de la vida, honra y bienes de los ciudadanos.

• Promover el desarrollo social de las comunidades menos

favorecidas a través de la protección y rehabilitación de los menores en situación irregular y manejar los programas y convenios nacionales, departamentales y municipales relacionándolos con la niñez la mujer, la familia, la juventud, la tercera edad y los incapacitados físicos entre otros.

• En consecuencia la secretaría coordina los servicios de la

comisaría de familia, la inspección de policía, la cárcel municipal, los servicios del cuerpo de bomberos el comité local de prevención y atención de desastres y emergencia, las relaciones con la fuerza pública entre otros aspectos.

20

• En el área de servicios administrativos es Conocer, administrar y garantizar que los procesos de selección manejo, desarrollo, capacitación y bienestar del recurso humano, los procesos de administración y suministro de los recursos físicos, manejo de información y coordinación de los servicios generales se ejecuten con el fundamento en los principios de la función pública.

• En síntesis proveer el apoyo humano y logístico requerido para el funcionamiento de las diferentes dependencias de la administración municipal

21

2. LÍNEA DE INTERVENCIÓN

El desarrollo de la práctica profesional se enmarca dentro de la línea de intervención sistemas de información, ya que las tareas a realizar buscan optimizar los procesos relacionados con la gestión y protección de los datos críticos de la organización, a la vez que generará en los usuarios pertinencia y responsabilidad sobre su compromiso frente al adecuado manejo de los recursos informáticos de la organización.

22

3. DIAGNÓSTICO DEL ÁREA DE INTERVENCIÓN O IDENTIFICACIÓN DE LAS NECESIDADES

Como se mencionó previamente para la identificación de las necesidades de la Alcaldía Municipal de la Virginia, se realizó una observación directa, la cual buscaba generar mayor conocimiento sobre los procesos internos de la organización, a la vez que identificaban aquellos puntos susceptibles de mejora dentro del desarrollo de la práctica. Para tal fin se visitó cada una de las dependencias verificando los problemas y las necesidades de los funcionarios, se hizo una revisión de la red desde el lugar donde están ubicados los dispositivos de interconexión (switch) hasta la conexión de cada usuario, registrando los problemas encontrados y documentando las necesidades particulares que se lograban identificar. De igual forma se realizó un inventario de los equipos de cómputo y licencias que posee la administración central para conocer el estado del hardware y software existentes. Una vez determinado el estado de la infraestructura. Se llevó a cabo una entrevista con la asesora de control interno de la Alcaldía, revisando el manual de procedimientos del 2008 para identificar los procesos que eventualmente se podrían sistematizar. Finalmente, como producto de este proceso de revisión se encontró que la Alcaldía Municipal de la Virginia, no cuenta con un departamento de sistemas que dicte las directrices a seguir a nivel de desarrollo tecnológico de la organización, Así mismo, se carece de un control de licenciamiento y unas políticas de seguridad adecuadas para la protección de la información, en muchos casos crítica, que manejan las diferentes dependencias. Otro aspecto que se logró evidenciar fue la necesidad de la sistematización de ciertos procesos internos entre dependencias de la organización, lo que permitiría optimizar los recursos y tiempos empleados en la atención de dichas solicitudes.

23

4. EJES DE INTERVENCIÓN

A partir del diagnóstico realizado y la reunión sostenida entre el asesor de la práctica y el jefe inmediato, se determinaron los siguientes ejes de intervención.

4.1. Sistematización del proceso de solicitudes entre dependencias. Desarrollo de una aplicación de solicitud de servicios entre dependencias de la organización, con el fin de sistematizar algunos procesos de la administración central con miras a agilizar los trámites internos entre las secretarias existentes.

4.2. Diseño de políticas de seguridad para la organización. Diseñar políticas de seguridad para mejorar el funcionamiento de los procesos existentes, controlar a los empleados, proteger los equipos y la información que maneja la alcaldía municipal de la Virginia. Estas políticas están acordes con las políticas de la organización y deben responder claramente a los procesos y objetivos planteados para el cumplimiento de las funciones institucionales.

4.3. Capacitación a los funcionarios Una vez desarrollado el sistema de gestión de solicitudes y diseñadas las políticas de seguridad, se hizo necesario capacitar a los funcionarios, ya que es fundamental plantear todo el proceso de la mano con los empleados para que aprendan y conozcan las nuevas reglas o formas en que se llevarán a cabo las labores diarias, buscando así mejorar el funcionamiento de la administración central. No se debe olvidar que en el desarrollo de cualquier tipo de sistema informático, el usuario final es una parte importante para el éxito de los nuevos procesos que se implementarán.

24

5. JUSTIFICACIÓN DEL EJE DE INTERVENCIÓN

A partir del análisis realizado se logró establecer un diagnóstico inicial sobre las condiciones en que se encuentra el manejo de las tecnologías de la información en la Alcaldía de la Virginia-Risaralda, evidenciando que no se cuenta con un departamento de sistemas, lo que ha provocado una falta de control en la gestión de la información, las licencias y los procesos asociados a la seguridad computacional. Por estas razones, y considerando que en el futuro próximo no se tiene planeado crear el Departamento de tecnología, se plantea la necesidad de implementar políticas de seguridad claras que guíen a la organización, al igual que optimizar los procesos internos mediante el desarrollo de una aplicación de solicitud de servicios entre dependencias, cada una de estas actividades con sus respectivos procesos de soporte a nivel de capacitación a los usuarios. Uno de los impactos que se espera a raíz de la sistematización mencionada, es agilizar los tiempos de respuesta entre dependencias, siendo importante resaltar que a su vez, las políticas de seguridad son necesarias, ya que permiten proteger todos los procesos que involucran las base de datos, los documentos digitales, los sistemas de control y la red de datos, entre otros. Esta implementación es necesario llevarla a cabo involucrando activamente a los empleados de la alcaldía, utilizando como mecanismo capacitaciones, para que conozcan el esquema asociado al despliegue de las políticas de seguridad y el manejo de los procesos sistematizados, pues generalmente existe en las empresas una problemática con los empleados, ya que carecen de cultura informática, seguridad de cómputo o en muchos casos no saben manipular los equipos.

25

6. OBJETIVO GENERAL

Apoyar procesos de tecnologías de la información en la Alcaldía de la Virginia (Risaralda), a través de la definición de políticas de seguridad, la implementación de un sistema de gestión de solicitudes de servicios entre dependencias y la capacitación respectiva de los usuarios de la organización.

26

7. OBJETIVOS ESPECÍFICOS

Verificar el estado de la red, el inventario de licencias y los recursos computacionales disponibles, con el fin de determinar los requerimientos tecnológicos de la organización. Elaborar, aplicar y socializar políticas de seguridad para el mejoramiento de los procesos. Desarrollar un esquema de documentación sobre las herramientas existentes, procesos internos y sistemas operativos que existen en la administración para plantear solución a las problemáticas que la Alcaldía tiene. Desarrollar las etapas de ingeniería asociadas al despliegue de una aplicación software para la gestión de solicitudes entre dependencias internas de la organización.

27

8. REFERENTE CONCEPTUAL

Conforme a lo planteado previamente, el desarrollo de los diferentes ejes de intervención requerirán involucrar conceptos relacionados con: PHP1: Es un lenguaje de programación interpretado, diseñado originalmente para la creación de páginas web dinámicas. Es usado principalmente en interpretación del lado del servidor (server-side scripting) pero actualmente puede ser utilizado desde una interfaz de línea de comandos o en la creación de otros tipos de programas incluyendo aplicaciones con interfaz gráfica usando las bibliotecas Qt o GTK+. PHP es un acrónimo recursivo que significa PHP Hypertext Pre-processor (inicialmente PHP Tools, o, Personal Home Page Tools). Fue creado originalmente por Rasmus Lerdorf en 1994; sin embargo la implementación principal de PHP es producida ahora por The PHP Group y sirve como el estándar de facto para PHP al no haber una especificación formal. Publicado bajo la PHP License, la Free Software Foundation considera esta licencia como software libre. PHP es un lenguaje interpretado de propósito general ampliamente usado y que está diseñado especialmente para desarrollo web y puede ser incrustado dentro de código HTML. Generalmente se ejecuta en un servidor web, tomando el código en PHP como su entrada y creando páginas web como salida. Puede ser desplegado en la mayoría de los servidores web y en casi todos los sistemas operativos y plataformas sin costo alguno. PHP se encuentra instalado en más de 20 millones de sitios web y en un millón de servidores. BASES DE DATOS2: Una base de datos es un “almacén” que nos permite guardar grandes cantidades de información de forma organizada para que luego podamos encontrar y utilizar fácilmente. El término de bases de datos fue escuchado por primera vez en 1963, en un simposio celebrado en California, USA. Una base de datos se puede definir como un conjunto de información relacionada que se encuentra agrupada ó estructurada. Desde el punto de vista informático, la base de datos es un sistema formado por un conjunto de datos almacenados en discos que permiten el acceso directo a ellos y un conjunto de programas que manipulen ese conjunto de datos. Cada base de datos se compone de una o más tablas que guarda un conjunto de datos. Cada tabla tiene una o más columnas y filas. Las columnas

1 http://es.wikipedia.org/wiki/PHP 2 http://www.maestrosdelweb.com/principiantes/%C2%BFque-son-las-bases-de-datos/

28

guardan una parte de la información sobre cada elemento que queramos guardar en la tabla, cada fila de la tabla conforma un registro. Definición de base de datos: Se define una base de datos como una serie de datos organizados y relacionados entre sí, los cuales son recolectados y explotados por los sistemas de información de una empresa o negocio en particular. Características: Entre las principales características de los sistemas de base de datos podemos mencionar.

Independencia lógica y física de los datos. Redundancia mínima. Acceso concurrente por parte de múltiples usuarios. Integridad de los datos. Consultas complejas optimizadas. Seguridad de acceso y auditoria. Respaldo y recuperación. Acceso a través de lenguajes de programación estándar.

Sistema de Gestión de Base de Datos (SGBD): Los Sistemas de Gestión de Base de Datos (en inglés DataBase Management System) son un tipo de software muy específico, dedicado a servir de interfaz entre la base de datos, el usuario y las aplicaciones que la utilizan. Se compone de un lenguaje de definición de datos, de un lenguaje de manipulación de datos y de un lenguaje de consulta. Ventajas de las bases de datos Control sobre la redundancia de datos: Los sistemas de ficheros almacenan varias copias de los mismos datos en ficheros distintos. Esto hace que se desperdicie espacio de almacenamiento, además de provocar la falta de consistencia de datos. En los sistemas de bases de datos todos estos ficheros están integrados, por lo que no se almacenan varias copias de los mismos datos. Sin embargo, en una base de datos no se puede eliminar la redundancia completamente, ya que en ocasiones es necesaria para modelar las relaciones entre los datos. Consistencia de datos: Eliminando o controlando las redundancias de datos se reduce en gran medida el riesgo de que haya inconsistencias. Si un dato está almacenado una sola vez, cualquier actualización se debe realizar sólo una vez, y está disponible para todos los usuarios inmediatamente. Si un dato está duplicado y el sistema conoce esta redundancia, el propio sistema puede encargarse de garantizar que todas las copias se mantienen consistentes.

29

Compartición de datos: En los sistemas de ficheros, los ficheros pertenecen a las personas o a los departamentos que los utilizan. Pero en los sistemas de bases de datos, la base de datos pertenece a la empresa y puede ser compartida por todos los usuarios que estén autorizados. Mantenimiento de estándares: Gracias a la integración es más fácil respetar los estándares necesarios, tanto los establecidos a nivel de la empresa como los nacionales e internacionales. Estos estándares pueden establecerse sobre el formato de los datos para facilitar su intercambio, pueden ser estándares de documentación, procedimientos de actualización y también reglas de acceso. Mejora en la integridad de datos: La integridad de la base de datos se refiere a la validez y la consistencia de los datos almacenados. Normalmente, la integridad se expresa mediante restricciones o reglas que no se pueden violar. Estas restricciones se pueden aplicar tanto a los datos, como a sus relaciones, y es el SGBD quien se debe encargar de mantenerlas. Mejora en la seguridad: La seguridad de la base de datos es la protección de la base de datos frente a usuarios no autorizados. Sin unas buenas medidas de seguridad, la integración de datos en los sistemas de bases de datos hace que éstos sean más vulnerables que en los sistemas de ficheros. Mejora en la accesibilidad a los datos: Muchos SGBD proporcionan lenguajes de consultas o generadores de informes que permiten al usuario hacer cualquier tipo de consulta sobre los datos, sin que sea necesario que un programador escriba una aplicación que realice tal tarea. Mejora en la productividad: El SGBD proporciona muchas de las funciones estándar que el programador necesita escribir en un sistema de ficheros. A nivel básico, el SGBD proporciona todas las rutinas de manejo de ficheros típicas de los programas de aplicación. El hecho de disponer de estas funciones permite al programador centrarse mejor en la función específica requerida por los usuarios, sin tener que preocuparse de los detalles de implementación de bajo nivel. Mejora en el mantenimiento: En los sistemas de ficheros, las descripciones de los datos se encuentran inmersas en los programas de aplicación que los manejan. Esto hace que los programas sean dependientes de los datos, de modo que un cambio en su estructura, o un cambio en el modo en que se almacena en disco, requiere cambios importantes en los programas cuyos datos se ven afectados. Sin embargo, los SGBD separan las descripciones de los datos de las aplicaciones. Esto es lo que se conoce como independencia de datos, gracias a la cual se simplifica el mantenimiento de las aplicaciones que acceden a la base de datos.

30

Aumento de la concurrencia: En algunos sistemas de ficheros, si hay varios usuarios que pueden acceder simultáneamente a un mismo fichero, es posible que el acceso interfiera entre ellos de modo que se pierda información o se pierda la integridad. La mayoría de los SGBD gestionan el acceso concurrente a la base de datos y garantizan que no ocurran problemas de este tipo. Mejora en los servicios de copias de seguridad: Muchos sistemas de ficheros dejan que sea el usuario quien proporcione las medidas necesarias para proteger los datos ante fallos en el sistema o en las aplicaciones. Los usuarios tienen que hacer copias de seguridad cada día, y si se produce algún fallo, utilizar estas copias para restaurarlos. En este caso, todo el trabajo realizado sobre los datos desde que se hizo la última copia de seguridad se pierde y se tiene que volver a realizar. Sin embargo, los SGBD actuales funcionan de modo que se minimiza la cantidad de trabajo perdido cuando se produce un fallo. Desventajas de las bases de datos Complejidad: Los SGBD son conjuntos de programas que pueden llegar a ser complejos con una gran funcionalidad. Es preciso comprender muy bien esta funcionalidad para poder realizar un buen uso de ellos. Coste del equipamiento adicional: Tanto el SGBD, como la propia base de datos, pueden hacer que sea necesario adquirir más espacio de almacenamiento. Además, para alcanzar las prestaciones deseadas, es posible que sea necesario adquirir una máquina más grande o una máquina que se dedique solamente al SGBD. Todo esto hará que la implantación de un sistema de bases de datos sea más cara. Vulnerable a los fallos: El hecho de que todo esté centralizado en el SGBD hace que el sistema sea más vulnerable ante los fallos que puedan producirse. Es por ello que deben tenerse copias de seguridad (Backup). Tipos de Campos: Cada Sistema de Base de Datos posee tipos de campos que pueden ser similares o diferentes. Entre los más comunes podemos nombrar. Numérico: entre los diferentes tipos de campos numéricos podemos encontrar enteros “sin decimales” y reales “decimales”. Booleanos: poseen dos estados: Verdadero “Si” y Falso “No”. Memos: son campos alfanuméricos de longitud ilimitada. Presentan el inconveniente de no poder ser indexados.

31

Fechas: almacenan fechas facilitando posteriormente su explotación. Almacenar fechas de esta forma posibilita ordenar los registros por fechas o calcular los días entre una fecha y otra. Alfanuméricos: contienen cifras y letras. Presentan una longitud limitada (255 caracteres). Auto incrementables: son campos numéricos enteros que incrementan en una unidad su valor para cada registro incorporado. Su utilidad resulta: Servir de identificador ya que resultan exclusivos de un registro. Tipos de Base de Datos: Entre los diferentes tipos de base de datos, podemos encontrar los siguientes. MySql: es una base de datos con licencia GPL basada en un servidor. Se caracteriza por su rapidez. No es recomendable usar para grandes volúmenes de datos. PostgreSql y Oracle: Son sistemas de base de datos poderosos. Administra muy bien grandes cantidades de datos, y suelen ser utilizadas en intranets y sistemas de gran calibre. Access: Es una base de datos desarrollada por Microsoft. Esta base de datos, debe ser creada bajo el programa access, el cual crea un archivo .mdb con la estructura ya explicada. Microsoft SQL Server: es una base de datos más potente que access desarrollada por Microsoft. Se utiliza para manejar grandes volúmenes de informaciones. Modelo entidad-relación: Los diagramas o modelos entidad-relación (denominado por su siglas, ERD “Diagram Entity relationship”) son una herramienta para el modelado de datos de un sistema de información. Estos modelos expresan entidades relevantes para un sistema de información, sus inter-relaciones y propiedades.

32

Figura 2 Modelos de Entidad Relación3

Cardinalidad de las Relaciones: El diseño de relaciones entre las tablas de una base de datos puede ser la siguiente Relaciones de uno a uno: una instancia de la entidad A se relaciona con una y solamente una de la entidad B. Relaciones de uno a muchos: cada instancia de la entidad A se relaciona con varias instancias de la entidad B. Relaciones de muchos a muchos: cualquier instancia de la entidad A se relaciona con cualquier instancia de la entidad B. Estructura de una Base de Datos: Una base de datos, a fin de ordenar la información de manera lógica, posee un orden que debe ser cumplido para acceder a la información de manera coherente. Cada base de datos contiene una o más tablas, que cumplen la función de contener los campos. Copia de seguridad: Las copias de seguridad son un proceso que se utiliza para salvar toda la información, es decir, un usuario, quiere guardar toda la información, o parte de la información, de la que dispone en el PC hasta este momento, realizará una copia de seguridad de tal manera, que lo almacenará en algún medio de almacenamiento tecnológicamente disponible hasta el momento como por ejemplo cinta, DVD, BluRay,en Internet o simplemente en otro Disco Duro, para posteriormente si pierde la información, poder restaurar el sistema. La copia de seguridad es útil por varias razones: Para restaurar un ordenador a un estado operacional después de un desastre (copias de seguridad del sistema). Para restaurar un pequeño número de ficheros después de que hayan sido borrados o dañados accidentalmente (copias de seguridad de datos). 3 http://www.maestrosdelweb.com/principiantes/%C2%BFque-son-las-bases-de-datos/

33

En el mundo de la empresa, además es útil y obligatorio, para evitar ser sancionado por los órganos de control en materia de protección de datos. Por ejemplo, en España la Agencia Española de Protección de Datos (AEPD). Normalmente las copias de seguridad se suelen hacer en cintas magnéticas, si bien dependiendo de lo que se trate podrían usarse disquetes, CD, DVD, discos ZIP, JAZ o magnético-ópticos o pueden realizarse sobre un centro de respaldo remoto propio o vía internet. La copia de seguridad puede realizarse sobre los datos, en los cuales se incluyen también archivos que formen parte del sistema operativo. Así las copias de seguridad suelen ser utilizadas como la última línea de defensa contra pérdida de datos, y se convierten por lo tanto en el último recurso a utilizar. Modelos de almacén de datos: Cualquier estrategia de copia de seguridad empieza con el concepto de almacén de datos. Los datos de la copia deben ser almacenados de alguna manera y probablemente deban ser organizados con algún criterio. Para ello se puede usar desde una hoja de papel con una lista de las cintas de la copia de seguridad y las fechas en que fueron hechas hasta un sofisticado programa con una base de datos relacional. Cada uno de los distintos almacenes de datos tiene sus ventajas. Esto está muy relacionado con el esquema de rotación de copia de seguridad elegido. Desestructurado: Un almacén desestructurado podría ser simplemente una pila de disquetes o CD-R con una mínima información sobre qué ha sido copiado y cuándo. Ésta es la forma más fácil de implementar, pero ofrece pocas garantías de recuperación de datos. Completa + Incremental: Un almacén completo-incremental propone hacer más factible el almacenamiento de varias copias de la misma fuente de datos. En primer lugar se realiza la copia de seguridad completa del sistema. Más tarde se realiza una copia de seguridad incremental, es decir, sólo con los ficheros que se hayan modificado desde la última copia de seguridad. Recuperar y restaurar un sistema completamente a un cierto punto en el tiempo requiere localizar una copia de seguridad completa y todas las incrementales posteriores realizadas hasta el instante que se desea restaurar. Los inconvenientes son tener que tratar con grandes series de copias incrementales y contar con un gran espacio de almacenaje.

34

Espejo + Diferencial: Un almacén de tipo espejo + diferencial inversa es similar al almacén completo-incremental. La diferencia está en que en vez de hacer una copia completa seguida de series incrementales, este modelo ofrece un espejo que refleja el estado del sistema a partir de la última copia y un historial de copias diferenciales. Una ventaja de este modelo es que solo requiere una copia de seguridad completa inicial. Cada copia diferencial es inmediatamente añadida al espejo y los ficheros que son remplazados son movidos a una copia incremental inversa. Una copia diferencial puede sustituir a otra copia diferencial más antigua sobre la misma copia total. Protección continúa de datos: Este modelo va un paso más allá y en lugar de realizar copias de seguridad periódicas, el sistema inmediatamente registra cada cambio en el sistema anfitrión. Este sistema reduce al mínimo la cantidad de información perdida en caso de desastre. Sintética (synthetic backup): Esta tecnología permite crear una nueva imagen de copia de respaldo a partir de copias de respaldo anteriormente completas y posteriores incrementales. Es de gran utilidad sobre todo en redes de almacenamiento (SAN) ya que no es necesaria la participación del host/nodo final, quitándole mucha carga de proceso. Administrar un almacén de datos: Independientemente del modelo de almacén de datos o del soporte de almacenamiento utilizado en una copia de seguridad, es necesario un equilibrio entre accesibilidad, seguridad y coste. En línea: El almacenamiento en línea es típicamente el más accesible de los tipos de almacenamiento de datos. Un buen ejemplo sería un gran array de discos. Este tipo de almacenamiento es muy conveniente y rápido, pero es relativamente más caro y está típicamente localizado cerca del sistema que pretende proteger. Esta proximidad es un problema en un caso de desastre. Además, el almacenamiento en línea es susceptible de ser borrado o sobre-escrito, incluso por accidente, o por un virus en el sistema. Cerca de línea: Almacenamiento cercano en línea es más asequible y accesible que el almacenamiento en línea. Un buen ejemplo sería una biblioteca de cintas. Se necesita un dispositivo mecánico para mover las unidades de almacenamiento desde el almacén donde están hasta un lector donde son leídas o escritas . Fuera de línea: Un almacenamiento fuera de línea es similar al cercano en línea, exceptuando que necesita una persona interaccionando para hacer los medios de almacenamiento disponibles. Esto puede ser tan simple como almacenar las cintas de copia de seguridad en un armario de ficheros. Cámara fuera del lugar: Para proteger contra desastres u otro tipo de problemas en el lugar, mucha gente elige enviar los soportes de copia de seguridad a una cámara fuera del lugar de trabajo. La cámara puede ser tan

35

simple como la oficina en casa del administrador del sistema o tan sofisticada como un búnker. Centro de recuperación de datos: En el momento de un desastre, la información de una copia de seguridad puede no ser suficiente para restaurar un sistema. Algunas organizaciones tienen sus propios centros de recuperación, que están equipados para estos casos. Política de Seguridad: El término política de seguridad se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales qué está y qué no está permitido en el área de seguridad durante la operación general de dicho sistema. Al tratarse de `términos generales', aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la política para convertirlos en indicaciones precisas de qué es lo permitido y lo denegado en cierta parte de la operación del sistema, lo que se denomina política de aplicación específica. Una política de seguridad puede ser prohibitiva, si todo lo que no está expresamente permitido está denegado, o permisiva, si todo lo que no está expresamente prohibido está permitido. Evidentemente la primera aproximación es mucho mejor que la segunda de cara a mantener la seguridad de un sistema; en este caso la política contemplaría todas las actividades que se pueden realizar en los sistemas, y el resto - las no contempladas - serían consideradas ilegales. Cualquier política ha de contemplar seis elementos claves en la seguridad de un sistema informático:

• Disponibilidad: Es necesario garantizar que los recursos del sistema se encontrarán disponibles cuando se necesitan, especialmente la información crítica.

• Utilidad: Los recursos del sistema y la información manejada en el

mismo han de ser útil para alguna función.

• Integridad: La información del sistema ha de estar disponible tal y como se almacenó por un agente autorizado.

• Autenticidad: El sistema ha de ser capaz de verificar la identidad de sus

usuarios, y los usuarios la del sistema.

• Confidencialidad: La información sólo ha de estar disponible para agentes autorizados, especialmente su propietario.

36

Posesión: Los propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios. Para cubrir de forma adecuada los seis elementos anteriores, con el objetivo permanente de garantizar la seguridad corporativa, una política se suele dividir en puntos más concretos a veces llamados normativas (aunque las definiciones concretas de cada documento que conforma la infraestructura de nuestra política de seguridad, política, normativa, estándar y procedimiento operativo, es algo en lo que ni los propios expertos se ponen de acuerdo. El estándar ISO 17799 define las siguientes líneas de actuación:

• Seguridad organizacional: Aspectos relativos a la gestión de la seguridad dentro de la organización (cooperación con elementos externos, outsourcing, estructura del área de seguridad...).

• Clasificación y control de activos: Inventario de activos y definición de

sus mecanismos de control, así como etiquetado y clasificación de la información corporativa.

• Seguridad del personal: Formación en materias de seguridad,

clausulas de confidencialidad, reporte de incidentes y monitorización de personal.

• Seguridad física y del entorno: Bajo este punto se engloban aspectos

relativos a la seguridad física de los recintos donde se encuentran los diferentes recursos - incluyendo los humanos - de la organización y de los sistemas en sí, así como la definición de controles genéricos de seguridad.

• Gestión de comunicaciones y operaciones: Este es uno de los puntos

más interesantes desde un punto de vista estrictamente técnico, ya que engloba aspectos de la seguridad relativos a la operación de los sistemas y telecomunicaciones, como los controles de red, la protección frente a malware, la gestión de copias de seguridad o el intercambio de software dentro de la organización.

• Controles de acceso: Definición y gestión de puntos de control de acceso a los recursos informáticos de la organización: contraseñas, seguridad perimetral y monitorización de accesos.

• Desarrollo y mantenimiento de sistemas: Seguridad en el desarrollo y

las aplicaciones, cifrado de datos y control de software.

• Gestión de continuidad de negocio: Definición de planes de continuidad, análisis de impacto, simulacros de catástrofes.

37

Requisitos legales: Evidentemente, una política ha de cumplir con la normativa vigente en el país donde se aplica; si una organización se extiende a lo largo de diferentes países, su política tiene que ser coherente con la normativa del más restrictivo de ellos. En este apartado de la policía se establecen las relaciones con cada ley: derechos de propiedad intelectual, tratamiento de datos de carácter personal, exportación de cifrado... junto a todos los aspectos relacionados con registros de eventos en los recursos (logs) y su mantenimiento.

38

9. Presentación y Análisis de los Resultados

A continuación se presentan los resultados obtenidos durante el desarrollo de los diferentes ejes de intervención definidos para la práctica.

9.1. Diagnostico Como producto de la visita realizada por cada una de las dependencias y las entrevistas hechas a cada funcionario, se presenta un inventario de los recursos informáticos que posee la alcaldía Municipal de la Virginia (Risaralda), el cual se muestra en la tabla1. De igual forma, fruto de dicho recorrido se lograron identificar una serie de falencias que obstaculizan el adecuado desarrollo tecnológico de la organización, siendo las más representativas las siguientes:

• Necesidad de adquirir licencias de antivirus.

• Mejoramiento de la infraestructura de red y renegociación con el proveedor de Internet.

• Actualizar las licencias de Sistemas Operativos e Microsoft Office.

39

DEPENDENCIA

NOMBRE DEL

EQUIPO

DISCO DURO

MEMORIA RAM

UNIDAD DE CD/DVD

UNIDAD DISKET TORRE MONITOR MOUSE TECLADO RESPONSABLE DEL

EQUIPO IMPRESORA LICENCIA S.O LICENCIA OFFICE

1 SISBEN SISBEN 120 GB 1 GB X

AMV0001 AMV0001-P AMV0001-M AMV0001-T

ADRIANA RODRIGUEZ HP Deskjet 1010

XP PROFESIONAL HKMV6-XB4C7-FBYP6-G22R9-

WX6RQ

No tiene

2 FAMILAI

S EN ACCIÓN

Familia -c5c0623 40 GB 192 MB LG X


GLORIA AMPARO POSADA HP Deskjet 3535

3 ALMACEN almacén 80 GB 2 GB LG X


BIBIANA MARIN MONTES HP Deskjet 3920

XP HOME EDITION BYD93-K8KWR-J6Q93-79QB7-

C9KWT

Office 200 B49HM-FCYYJ-GYRRC-8DGCM-CKKWQ

4 SECRETARIA DE SALUD

SECRE 80 GB 512 MB SOLO LECTURA X


ANGELA MARIA RODRIGUEZ HP Deskjet 3550


ALEJANDRO 80 GB 1 GB X X


ALEJANDRO CARDONA HP PSC 1410


Salud1 80 GB 512 MB LG X


ALVERTO VANEGAS CASTILLO

7

SECRETARIA DE HACIEN

DA

contabilidad 80 GB 512 MB LG X


OLGA GARCIA EPSON FX2190

XP PROFESSIONAL VJVJD-KRPD9-VFK2B-H3Y49-

MMR2T

No tine

8


DA

presupuesto 80 GB 512 MB X X


LINA YISETH RIOS CARRILLO

XP PRPFESSIONAL MJG9X-4HYDB-W8YH4-JF2YK-

WVXXD

Office XP F9CDC-32342-

2W9FX-VQ7HV-V9FV8

9


DA

IMPUESTOS

200 GB 100 GB 256 MB

SOLO LECTURA

LG X


XP PROFESSIONAL CV6QM-6V3PR-K3QF2-YV4TX-

MJGDW

Office XP K8FVW-9BYC8-YGGW4-

M4VDB-YD6TJ

10


DA

SERVER 120 GB 2 GB SOLO

LECTURA LG

HP AMV0010

AMV0010-P AMV0010-M AMV0010-T

MARIA CLAUDIA BARCASNEGRAS

SAMSUNG ML-305 IND

11


DA

CAJA 80 GB 512 MB SOLO

LECTURA LG

X

AMV0011 AMV0011-P AMV0011-M AMV0011-TCLARIBEL TREJOS

RIOS HP LaserJet 1022

40

DEPENDENCIA NOMBRE DEL EQUIPO

DISCO DURO

MEMORIA RAM

UNIDAD DE

CD/DVD UNIDAD DISKET TORRE MONITOR MOUSE TECLADO RESPONSABLE

DEL EQUIPO IMPRESORA

LICENCIA S.O

LICENCIA OFFICE

12 SECRETARIA DE HACIENDA JEFE 80 GB 512 MB X X

AMV0012 AMV0012-P

AMV0012-M

AMV0012-T DONALDO

PARRA

13 SECRETARIA DE HACIENDA Tesorería 80 GB 512 MB X X

AMV0013 AMV0013-P

AMV0013-M

AMV0013-T GLORIA PATRICIA MONCADA

SERNA

EPSON LX-300

XP Profesionnal VJHQ4-PG66P-HBD3R-KJ989-

KVJCJ

No tiene

14 SECRETARIA DE HACIENDA

AMV0014 AMV0014-P

AMV0014-M

AMV0014-T

15 ARCHIVO ventanilla 40 GB 1 GB X X

AMV0015 AMV0015-P

AMV0015-M

AMV0015-T

EPSON LX-300

XP PROFESIONAL H838G-F27GB-3HPH7-6RG8F-

X22HJ

NO TIENE

16 SECRETARIA

DE PLANEACION

AMV0016 AMV0016-P

AMV0016-M

AMV0016-T

17 PERFECTURA colosos 40 GB 256 MB SOLO LECTURA X

AMV0017 AMV0017-P

AMV0017-M

AMV0017-T OMAR

AGUDELO HENAO

EPSON LX-300

18 SECRETARIA DESARROLLO

SOCIAL desktop 80 GB 512 MB LG X

AMV0018 AMV0018-P

AMV0018-M

AMV0018-T LUIS

FERNANDO TORO ORREGO

HP Deskjet 3920

XP PROFESSIONAL

BGQHW-XGHB7-JJVD6-KK46C-2PK3B

OFFICE XP WH9QY-KDT9C-FW6B9-8XP97-

RPDQD

19 DESPACHO secretaria 200 GB 1 GB X

AMV0019 AMV0019-P

AMV0019-M

AMV0019-T YANETH MAZO

RUIZ HP LaserJet

P1006

20 DESPACHO CONTRATACION 200 GB 1 GB X

AMV0020 AMV0020-P

AMV0020-M

AMV0020-T MARIA

EUGENIA ESCOBAR

HP LaserJet P1006

21 DESPACHO

AMV0021 AMV0021-P

AMV0021-M

AMV0021-T

41

DEPENDENC

IA NOMBRE DEL

EQUIPO DISCO DURO

MEMORIA RAM

UNIDAD DE CD/DVD

UNIDAD DISKET TORRE MONITOR MOUSE TECLADO

RESPONSABLE DEL

EQUIPO IMPRESORA LICENCIA

S.O LICENCIA OFFICE

22

SECRETARIA

ADMINISTRATIVA

NOMINA 200 GB 1 GB X AMV0022 AMV0022-P AMV0022-M AMV0022-T JOHANNA OSORIO

SANCHEZ HP LaserJet P1006

23

SECRETARIA

ADMINISTRATIVA

ADMVA 60 GB 512 MB X X AMV0023 AMV0023-P AMV0023-M AMV0023-T DIANA

PATRICIA DUQUE VERA

HP Deskjet 3920

1 CD TYHRC-R4V7X-P66J9-JPRKR-

FC3QM (0FFICE 2003)

24

SECRETARIA

ADMINISTRATIVA

PAGINAWEB 80 GB 252 MB LG X AMV0024 AMV0024-P AMV0024-M AMV0024-T GLORIA LEONOR HENAO

EPSON FX 2190

XP Profesionnal

HOME EDITION HW6WY-DFFD6-PDC3Y-9D92B-DJYVG

OFFICE 2000 CFT6R-V4QQP-QP6C8-PGHH2-

GDQ7M

25 SECRETARI

A DE GOBIERNO

GOBIERNO 40 GB 512 MB LG X AMV0025 AMV0025-P AMV0025-M AMV0025-T GLORA

AMPARO HENAO

HP Deskjet 3920 No tiene No tiene

26 SECRETARI

A DE GOBIERNO

GOBIERNO 40 GB 512 MB SOLO

LECTURA LG

X AMV0026 AMV0026-P AMV0026-M AMV0026-T CESAR

AUGUSTO MENA

ECHEVERRY

HP Deskjet 3745

27 SECRETARI

A DE GOBIERNO

Personer-041456 80 GB 252 MB LG X AMV0027 AMV0027-P AMV0027-M AMV0027-T ESPACIO PUBLICO

28 SECRETARI

A DE GOBIERNO

GOBIERNO 80 GB 512 MB LG X AMV0028 AMV0028-P AMV0028-M AMV0028-T JORGE CALLE HP Deskjet 3920 No tiene No tiene

29 CONTROL INTERNO prensa 160 GB 1 GB LG X AMV0029 AMV0029-P AMV0029-M AMV0029-T

CARLOS ALBERTO MORALES

HP Deskjet f380 No tiene No tiene

30 CONTROL INTERNO control interno 80 GB 512 GB LG X AMV0030 AMV0030-P AMV0030-M AMV0030-T

LUZ ADRIANA ZAPATA ARANGO

HP Deskjet 3535

XP Profesionnal

KFHQ4-VFCH9-VJPXXX-PTP7J-H96TM

No tiene

31 COMISARIA DEFAMILIA AMV0031 AMV0031-P AMV0031-M AMV0031-T

42

Tabla 1 Inventario licencias y equipos informáticos

DEPENDENCIA NOMBRE

DEL EQUIPO

DISCO DURO

MEMORIA RAM

UNIDAD DE

CD/DVD UNIDAD DISKET TORRE MONITOR MOUSE TECLADO RESPONSABLE

DEL EQUIPO IMPRESORA

LICENCIA S.O

LICENCIA OFFICE

32 SECRETARIA

DE PLANEACION

Planeación 80 GB 512 MB LG X

AMV0032 AMV0032-P

AMV0032-M

AMV0032-T ANDREA CAROLINA ARENAS

LONDOÑO

HP Deskjet 840C

XP PROFESSIONAL HTBH7-M9JW9-VB44X-4R9HV-

KGYFG

NO TINE

33 SECRETARIA

DE PLANEACION

medio 80 GB 512 MB X

AMV0033 AMV0033-P

AMV0033-M

AMV0033-T NIDIA LISETH OTALVARO

GOMEZ

34 SECRETARIA

DE PLANEACION

planeación 40 GB 252 MB LG X

AMV0034 AMV0034-P

AMV0034-M

AMV0034-T MARIA CONSUELO ARROYAVE

OSPINA

Epson Lx-300+II

35 SECRETARIA

DE PLANEACION

alcaldía 250 GB 1 GB X

AMV0035 COMODATO

AMV0035-P

AMV0035-M

AMV0035-T RODOLFO

GUTIERREZ ACEVEDO

HP Deskjet 3535

36 SECRETARIA

DE PLANEACION

planeación 80 GB 512 MB LG X

AMV0036 AMV0036-P

AMV0036-M

AMV0036-T

RAMIRO RODAS hp Deskjet 3920 PENDIENTE

ESTA CD

OFFICE XPR6CVM-

4TY2Y-DW9DJ-7VDWW-VXGQ6

43

9.2. Políticas de Seguridad

Las políticas de seguridad se diseñaron teniendo en cuenta tres grandes aspectos: los equipos de cómputo, el control de acceso y el software, donde para cada uno de ellos se plantean las características de uso, limitaciones y comportamientos esperados por parte de los usuarios.

9.2.1. Equipos de cómputo INSTALACIÓN DE EQUIPOS DE CÓMPUTO: Todo el equipo de cómputo, que esté o sea conectado a la Red de la alcaldía, o aquel que en forma autónoma se tenga y que sea propiedad de la institución debe sujetarse a las siguientes normas y procedimientos de instalación que emite el encargado de sistemas:

• Realizar conexión física o inalámbrica del equipo dirigido por el

administrador del sistema.

• El administrador del sistema asignara las direcciones IP fijas.

El responsable del área de sistemas deberá tener un registro de todos los equipos de la administración municipal como parte del inventario actualizado de equipos de cómputo.

La persona responsable del área de sistema deberá dar cabal cumplimiento a las normas de instalación y notificaciones correspondientes de actualización de software y hardware, reubicación, reasignación y todo aquello que implique movimientos de los equipo de cómputo.

La protección física de los equipos corresponde a quienes en un principio se les asigna, y les corresponde igualmente notificar los movimientos, en caso de que existan, a las autoridades correspondientes (almacén y responsable del área de sistemas).

44

9.2.2. Actualización del Equipo. Todo el equipo de cómputo (computadoras personales, estaciones de trabajo y demás relacionados), y los de telecomunicaciones que sean propiedad de la alcaldía municipal debe procurarse sea actualizado tendiendo a conservar e incrementar la calidad del servicio que presta, mediante la mejora sustantiva de su desempeño.

9.2.3. Reubicación del Equipo de Cómputo.

• La reubicación del equipo de cómputo se realizará satisfaciendo las siguientes normas:

• Solicitar autorización al responsable del área de sistemas.

• Si se aprueba, el responsable del área de sistemas será quien ejecute la

reubicación.

45

9.2.4. Acceso a áreas críticas.

• El acceso al cuarto de servidores solo estará autorizado el encargado del área de sistemas.

• La alcaldía municipal deberá proveer de la infraestructura de

seguridad requerida con base en los requerimientos específicos de cada área.

9.2.5. Control de acceso al equipo de cómputo.

• Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su competencia hacer buen uso de los mismos.

• Las áreas donde se tiene equipo de propósito general cuya misión

es crítica estarán sujetas a los siguientes requerimientos :

• Solo la persona encargada tendrá acceso a él o por su defecto el secretario de despacho y el encargado de sistemas.

• El manejo de servidores y equipos de telecomunicaciones solo tendrá acceso la persona encargada del área de sistemas.

9.2.6. Control de usuarios.

El control de los usuarios se efectuará para garantizar el buen funcionamiento de la red y el desempeño del empleado. Se deberá solicitar autorización para la instalación de nuevo software, ya que no se podrá instalar software pirata, visitar páginas sociales y utilizar programas tales como:

• Messenger • Ares • Facebook • Hi5

46

• Aplicaciones de descarga tipo P2P • Otras que sean definidas por el responsable de sistemas

Los anteriores programas y sitios web se podrán instalar con previa autorización del secretario de despacho respectivo y únicamente si se utilizarán para fines relacionados con la labor de la organización.

9.2.7. Manejo de contraseñas

• El manejo de las contraseñas es importante para la seguridad de los usuarios y de la misma información, se utilizará dos tipos de claves, la del administrador y el usuario.

• Las contraseñas tendrán un nivel de seguridad alto para

garantizar la seguridad de la información y caducará cada dos meses.

• Ningún funcionario deberá dar a conocer las claves de acceso a

las aplicaciones que utilizará y es el responsable de la protección de la información que maneje.

9.2.8. Control de acceso local a la red.

• La persona encargada del área de sistemas es el responsable de proporcionar a los usuarios el acceso a los recursos informáticos.

• El acceso lógico a equipo especializado de cómputo (servidores,

enrutadores, bases de datos, etc.) conectado a la red es administrado por la persona encargada del área de sistema.

• Todo el equipo de cómputo que esté o sea conectado a la Red de

la alcaldía, o aquellas que en forma autónoma se tengan y que sean propiedad de la institución, debe sujetarse a los procedimientos de acceso:

47

• Direcciones IP fijas.

• Restricciones correspondientes.

9.2.9. Control de acceso remoto. La persona responsable del área de sistemas debe proporcionar el servicio de acceso remoto y las normas de acceso a los recursos informáticos disponibles.

9.2.10. Acceso a los sistemas administrativos.

• Tendrá acceso a los sistemas administrativos solo el personal de la Alcaldía que tenga la autorización del secretario de despacho.

• El manejo de información administrativa que se considere de uso

restringido deberá ser cifrada con el objeto de garantizar su integridad.

• Los servidores de bases de datos administrativos son dedicados, por lo que se prohíben los accesos de cualquiera, excepto la persona encargada del área.

9.2.11. Web.

• El encargado del área de sistemas es la responsable de instalar y administrar el o los servidor(es) WWW. Es decir, sólo se permiten servidores de páginas autorizadas por la persona encargada del área de sistemas.

• Los accesos a las páginas de web a través de los navegadores

deben sujetarse a las normas que previamente se manifiestan en el Reglamento de acceso a la Red de la alcaldía.

• A los responsables de los servidores de Web corresponde la

verificación de respaldo y protección adecuada de la información.

• El material que aparezca en la página de Internet de la alcaldía deberá ser aprobado por las personas encargadas, respetando la

48

ley de propiedad intelectual (derechos de autor, créditos, permisos y protección, como los que se aplican a cualquier material impreso).

9.2.12. Utilización de los recursos de la red

• Los recursos disponibles a través de la Red de la alcaldía serán

de uso exclusivo para asuntos relacionados con las actividades sustantivas de la alcaldía municipal.

• Control interno es la dependencia responsable de emitir y dar

seguimiento al Reglamento para el uso de la Red.

9.2.13. Instalación de software.

• En los equipos de cómputo, de telecomunicaciones y en dispositivos basados en sistemas de cómputo, únicamente se permitirá la instalación de software con licenciamiento apropiado y acorde a la propiedad intelectual.

• La persona encargada del área de sistemas es la responsable de brindar asesoría técnica y supervisión para la instalación de software informático.

• La instalación de software que pueda poner en riesgo los recursos de la administración no está permitida.

• Con el propósito de proteger la integridad de los sistemas informáticos y de telecomunicaciones, es imprescindible que todos y cada uno de los equipos involucrados dispongan de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se apliquen).

• La protección lógica de los sistemas corresponde a quienes en un principio se les asigna y les compete notificar cualquier movimiento al responsable del área de sistemas.

49

• Ningún funcionario puede instalar o desinstalar software ni modificar las configuraciones de los equipos de cómputo sin la debida autorización por parte del encargado de sistemas.

9.2.14. Actualización del software. Las actualizaciones del software de uso común o más generalizado se llevarán a cabo de acuerdo al plan de actualización desarrollado por el responsable del área de sistemas.

9.2.15. Copias de seguridad

Las copias de seguridad se harán todos los viernes y a final de mes una general con el apoyo de control interno en unas horas determinadas de la tarde. Los empleados deberán guardar la información importante en una carpeta específica creada por ellos para así agilizar el proceso de respaldo.

9.2.16. Auditoría de software instalado.

• Control Interno es la responsable de realizar revisiones periódicas para asegurar que sólo programación con licencia esté instalada en las computadoras de la institución.

• Control Interno es la encargada de dictar las normas,

procedimientos y calendarios de auditoría.

50

9.2.17. Supervisión y evaluación

• Las auditorías de cada actividad donde se involucren aspectos de seguridad lógica y física deberán realizarse periódicamente y deberá sujetarse al calendario establecido por Control Interno.

• Para efectos de que la institución disponga de una red con alto

grado de confiabilidad, será necesario que se realice un monitoreo constante sobre todos y cada uno de los servicios que las tecnologías de la Internet e Intranet disponen.

51

9.2.18. Generales. Cada una de las secretarias deberá emitir los planes de contingencia que correspondan a las actividades críticas que realicen.

9.2.19. Sanciones. Cualquier violación a las políticas y normas de seguridad deberá ser sancionada por la secretaría de Servicios Administrativos y Contratación, Control Interno Disciplinario, por incumplimiento a los deberes como servidores públicos ley 734/2002.

9.2.20. Capacitación

• Las capacitaciones se llevará a cabo, para informar al personal de los pasos que se deben cumplir para poner en marcha las políticas de seguridad, con el fin de explicarles su participación e importancia en la puesta en marcha de estos.

• Los funcionarios serán capacitados cada vez que la

administración municipal adquiera nuevo software para mejorar el funcionamiento de la misma.

52

9.3. Ingeniería de Software Para garantizar que las solicitudes de información entre dependencias se haga adecuadamente, la Alcaldía municipal de la Virginia (Risaralda) implementa un sistema que permite enviar y recibir solicitudes entre dependencias vía web.

9.3.1. Descripción general

AREAS DE TRABAJO INTERVENIDA La alcaldía Municipal de la Virginia cuenta actualmente con un total de 63 empleados, de los cuales 54 son de planta y 9 obreros. En cuanto a organización cuenta con 9 secretarias distribuidos de según la siguiente tabla:

DEPENDENCIAS Secretaria de Gobierno

Secretaria de Servicios Administrativos y Contratación

Secretaría de Desarrollo Social y Comunitario

Secretaría de Tránsito y Trasporte Secretaría de Salud

Secretaria de hacienda Secretaría de Planeación y Obras

Públicas Despacho del Alcalde

Oficina de Control Interno Tabla 2 Nombre de secretarias de la Alcaldía

53

9.3.2. Vista general del proyecto PROPÓSITO

El sistema busca agilizar el proceso de solicitudes de información entre dependencias de la alcaldía Municipal de la Virginia (Risaralda). ALCANCE

En términos de funcionalidad, el sistema deberá permitir enviar y responder oficios, consultar oficios enviados, oficios respondidos, oficios recibidos, oficios por usuarios y oficios por dependencias. Puesto que el sistema está constituido por dos módulos con finalidad y funciones diferentes, es necesario determinar el alcance individual de cada uno de ellos, así:

• El módulo Administrativo permitirá únicamente al administrador de sistemas y a la asesora de control interno acceder a otras opciones con el fin de llevar auditorias a los funcionarios.

• El módulo Usuario permitirá realizar el proceso normal de enviar y responder oficios.

9.3.3. Objetivos OBJETIVO GENERAL

Desarrollar un sistema que permita agilizar el proceso de envío de información entre dependencias de la Alcaldía municipal de la Virginia (Risaralda). OBJETIVOS ESPECÍFICOS

• Desarrollar un software que permita optimizar el envió de información entre

dependencias.

• Diseñar una base de datos que interactúe con el software a desarrollar para almacenar la información de los oficios y los funcionarios.

54

• Desarrollar e implementar las interfaces de usuario que permitan interactuar con el usuario y la base de datos.

9.3.4. Suposiciones y restricciones del producto

El sistema permitirá la realización del proceso de solicitud entre dependencias de la alcaldía municipal de la Virginia (Risaralda). El cual tendrá dos tipos de usuarios:

• El administrador, conformado por la Asesora de control interno y el administrador del sistema; quienes tendrán acceso al menú administrador que les permite de hacer auditorias a los funcionarios y enviar y responder oficios.

• El usuario normal será utilizado por los otros funcionarios. Cabe aclarar, que estos tendrán acceso a un menú donde solo pueden enviar y responder oficios.

El sistema sólo podrá ser utilizado por el personal autorizado, por lo que el acceso al mismo estará restringido de acuerdo al tipo de usuario. Además, en su creación y posterior implementación se utilizarán herramientas reconocidas por su gran trayectoria, confiabilidad y fácil manejo; que le permitirán contar con una excelente calidad. Para llevar a cabo el desarrollo del sistema es necesario contar con: una base de datos, un SGBD, un lenguaje de programación. El Sistema de envío de solicitud entre dependencias correrá en plataformas tipo web. El idioma inicial del sistema será el Español de Colombia. El desarrollo del sistema estará ajustado a los lineamientos y normas legales vigentes de propiedad intelectual y derechos de autor, así como a aquellas que hacen referencia al licenciamiento del software.

55

9.3.5. Organización del proyecto Participante en el Proyecto Analista de Sistemas, Programador, ingeniro de software. Manuel Alejandro Palacio Castaño, alumno del noveno semestre de la carrera de Ingeniería de Sistemas y Telecomunicaciones en la Facultad de Ciencias Básicas e Ingeniería de la Universidad Católica Popular del Risaralda. INFORMACIÓN BÁSICA DE LOS INTEGRANTES Código: 1088240193 Nombre y Apellidos: Manuel Alejandro Palacio Castaño Dirección: Cra 7 No. 13-36 Teléfono: 3165272134- E-mail: [email protected] __________________________________ Firma. Roles y Responsabilidades Principales funciones y responsabilidades del encargado del proyecto.

Puesto Funciones

Analista de Sistemas

Captura, especificación y validación de requisitos, interactuando con el cliente y los usuarios mediante entrevistas. Elaboración del Modelo de Análisis y Diseño. Colaboración en la elaboración de las pruebas funcionales y el modelo de datos.

Programador Construcción de prototipos. Colaboración en la elaboración de las pruebas funcionales, modelo de datos y en las validaciones con el usuario

Ingeniero de Software

Gestión de requisitos, gestión de configuración y cambios, elaboración del modelo de datos, preparación de las pruebas funcionales, elaboración de la documentación. Elaborar modelos de implementación y despliegue.

Tabla 3 Funciones a desarrollar

56

9.3.6. Gestión del proceso Estimaciones del Proyecto La realización del SISTEMA DE SOLICITUDES ENTRE DEPENDENCIAS, permitirá llevar a cabo todas las etapas de desarrollo de la Ingeniería del Software a través de los modelos de los casos de uso, manejo de Bases de Datos y Diseño de Interfaces.

9.3.7. Plan del proyecto Métricas y Estimación Para realizar las estimaciones y métricas del sistema, se realizará a lo largo del desarrollo del proyecto un análisis de riesgos en el cual se tendrán en cuenta las siguientes actividades:

• Identificación del riesgo: será posible en la medida en que realicen las pruebas del sistema.

• Proyección del riesgo: se hará una evaluación del riesgo encontrado para determinar las repercusiones que éste pueda causar en el sistema y las posibles soluciones al mismo.

• Cálculo del riesgo: se hará un cálculo a partir de las proyecciones del riesgo para conocer el valor negativo de las consecuencias generadas por el riesgo en el sistema.

• Gestión del riesgo: consiste la ejecución de una serie de acciones y

mecanismos que permitan dar solución a los efectos del riesgo.

57

9.3.8. Sistema de control del proyecto La gestión y seguimiento del proyecto se llevará a cabo mediante las siguientes actividades:

• Realizando reuniones periódicas sobre el estado del proyecto, en las cuales el encargado del proyecto informe de los progresos y de los problemas.

• Evaluando los resultados de todas las revisiones realizadas en todo el proceso de construcción del software.

• Determinando si los hitos formales del proyecto se han alcanzado en la fecha programada.

• Comparando la fecha de comienzo real con la fecha de comienzo planeada, para cada tarea del proyecto de la tabla de recursos.

• Reuniéndose informalmente con el equipo de trabajo para conocer sus valoraciones acerca del progreso de cada momento y los posibles problemas que se puedan presentar.

9.3.9. Modelo de Casos de Uso del Sistema DEFINICIÓN DEL DISTEMA

El sistema de envío de información entre dependencias es un software que permite agilizar el proceso de envío y recepción de oficios para la alcaldía municipal de la Virginia (Risaralda). ACTORES El sistema tendrá los siguientes actores:

ACTOR Usuario administrativo

CASOS DE USO

Validar usuario, Administrar usuarios, enviar oficio, responder oficio, consulta de oficios enviados, consulta de oficios respondidos, consulta por usuarios, consulta por dependencia, consulta de oficios recibidos.

TIPO Primario

DESCRIPCIÓN Es el actor principal y representa a las personas encargadas de administrar el sistema.

Tabla 4 Usuario administrativo

58

ACTOR Usuario normal CASOS DE

USO Enviar y responder oficios

TIPO Primario

DESCRIPCIÓN Es uno de los actores que usan el sistema y representa a las personas encargadas de enviar y responder oficios.

Tabla 5 Usuario Normal

ACTOR Base de datos CASOS DE

USO Validar usuario, Administrar usuarios, Ingresar textos, Consultar información

TIPO Secundario

DESCRIPCIÓN Es un actor secundario y representa a la base de datos donde se guarda toda la información relacionada con el sistema.

Tabla 6 Caso de uso Base de Datos CASO DE USO Validar usuario

ACTORES Usuario administrativo, Usuario normal, Base de datos

PROPÓSITO Validar a un usuario ya registrado para el uso del sistema de clasificación de textos en demostración.

RESÚMEN

Este caso de uso es iniciado por el Usuario. Valida al usuario mediante un usuario y contraseña a ser validado con su respectivo registro de usuario para así poder utilizar el sistema.

PRECONDICIONES Para el usuario normal se requiere haber sido registrado previamente por el usuario administrador.

FLUJO PRINCIPAL

Se presenta al usuario la Pantalla Principal donde se valida el registro de usuario mediante un usuario y una contraseña insertados por el usuario en la Pantalla Principal. Una vez validado el usuario, se continúa a una nueva pantalla dependiendo del usuario.

SUBFLUJOS Ninguno

EXCEPCIONES Si el usuario no digita bien el usuario y contraseña o no esta registrado le saldrá un mensaje de error.

Tabla 7 Caso de uso Validar usuario

59

CASO DE USO Administrar usuario ACTORES Usuario administrador, Base de datos

PROPÓSITO Permitir al Usuario administrador registrar, modificar y eliminar usuarios normales.

RESÚMEN Es una función del Usuario administrador. En esta venta se encuentran las opciones de registrar usuarios, actualizar y eliminar Usuarios normales.

PRECONDICIONES Haber sido validado correctamente como Usuario administrador.

FLUJO PRINCIPAL

Se presenta al usuario una ventana con las siguientes opciones: “Registrar usuario”, “Modificar usuario”, “Eliminar usuario”. Dependiendo de las opciones seleccionadas por el Usuario, se continuará con los diversos subflujos de este caso de uso.

SUBFLUJOS

Crear usuario: permite al Usuario administrador ingresar la información correspondiente a un Usuario normal para posteriormente crearlo. Modificar usuarios: permite al Usuario administrador modificar la información correspondiente a un Usuario normal. Eliminar usuario: permite al Usuario administrador borrar del sistema a un Usuario normal.

EXCEPCIONES Ninguna Tabla 8 Caso de uso Administrar usuario

60

CASO DE USO Enviar oficio

ACTORES Usuario administrador, Base de datos, Usuario normal

PROPÓSITO Permitir al Usuario administrador y Normal ingresar al sistema la información del nuevo oficio.

RESÚMEN El Usuario administrador y normal ingresa al sistema toda la información del nuevo oficio.


FLUJO PRINCIPAL

Se presenta una ventana para ingresar la información correspondiente a un nuevo oficio (Secretaria, dependencia, funcionario y tipo). Si el usuario selecciona “Aceptar”, ésta quedará guardada en la base de datos y lo llevara a la interface oficio. Si selecciona “Cancelar”, el sistema volverá al menú principal.

SUBFLUJOS Ninguno

EXCEPCIONES Si el usuario ingresa un dato que no corresponde al campo aparecerá un mensaje de error.

CASO DE USO Registrar responder oficio


PROPÓSITO Permitir al Usuario administrador y Normal ingresar al sistema la información del nuevo oficio.

RESÚMEN El Usuario administrador y normal ingresa al sistema toda la información del nuevo oficio.


FLUJO PRINCIPAL

Se presenta una ventana para ingresar la información correspondiente a un nuevo oficio (Secretaria, dependencia, funcionario y tipo). Si el usuario selecciona “Aceptar”, ésta quedará guardada en la base de datos y lo llevara a la interface oficio. Si selecciona “Cancelar”, el sistema volverá al menú principal.

SUBFLUJOS Ninguno

EXCEPCIONES Si el usuario ingresa un dato que no corresponde al campo aparecerá un mensaje de error.

Tabla 9 Caso Enviar Oficio

61

CASO DE USO Consulta de Oficios enviados


PROPÓSITO Permitir al Usuario administrador y normal consultar información del sistema de los oficios enviados.

RESÚMEN

El Usuario administrador y normal tiene la opción de verificar en que estados se encuentran los oficios enviados: consecutivo, código de la dependencia, rangos de fechas.

PRECONDICIONES Los oficios deben haber sido envidos con anterioridad por el usuario administrador o normal.

FLUJO PRINCIPAL Se presenta al usuario una ventana donde podrá ingresar las siguientes opciones: “Consecutivo”, “Código de la dependencia”, “Desde”, “Hasta”.

SUBFLUJOS Ninguno

EXCEPCIONES Si el usuario digita un dato erróneo en una de las casillas aparecerá un mensaje de error.

Tabla 10 Caso de uso consulta de oficio enviados CASO DE USO Consulta de Oficios respondidos


PROPÓSITO Permitir al Usuario administrador y normal consultar información del sistema de los oficios respondidos.

RESÚMEN

El Usuario administrador y normal tiene la opción de verificar en que estados se encuentran los oficios respondidos: consecutivo, código de la dependencia, rangos de fechas.

PRECONDICIONES Los oficios deben haber sido respondidos con anterioridad por el usuario administrador o normal.


SUBFLUJOS Ninguno


Tabla 11 Caso de uso Consulta de oficios respondidos

62

CASO DE USO Consulta de Oficios recibidos


PROPÓSITO Permitir al Usuario administrador y normal consultar información del sistema de los oficios recibidos.

RESÚMEN

El Usuario administrador y normal tiene la opción de verificar en que estados se encuentran los oficios recibidos: consecutivo, código de la dependencia, rangos de fechas.

PRECONDICIONES Los oficios deben haber sido recibidos con anterioridad por el usuario administrador o normal.


SUBFLUJOS Ninguno


Tabla 12 Caso de uso Consulta de Oficios recibidos CASO DE USO Consulta de Oficios por usuarios ACTORES Usuario administrador, Base de datos

PROPÓSITO Permitir al Usuario administrador consultar información del sistema de los oficios por usuarios.

RESÚMEN

El Usuario administrador tiene la opción de verificar en que estados se encuentran los oficios recibidos: consecutivo, nombre del funcionario, rangos de fechas.

PRECONDICIONES Los oficios deben haber sido recibidos o enviados con anterioridad por el usuario administrador o normal.

FLUJO PRINCIPAL Se presenta al usuario una ventana donde podrá ingresar las siguientes opciones: “Consecutivo”, “Nombre del funcionario”, “Desde”, “Hasta”.

SUBFLUJOS Ninguno


Tabla 13 Caso de uso consulta de oficio por usuario

63

9.3.10. Modelo de Casos de Uso

Figura 3 modelo de caso de uso

64

9.3.11. Prototipos de Interfaces de Usuarios

Figura 4 Interface validar usuario

Figura 5 Interface de usuario menú 1

65

Figura 6 Interface de usuario menú 2

Figura 7 Interface de usuario Enviar oficio

66

Figura 8 Interface de usuario responder oficio

Figura 9 Interface de usuario consulta de oficios recibidos

67

Figura 10 Interface de usuario consulta de oficios respondidos

68

10. CONCLUSIONES

Dentro del diagnostico se pudo determinar que la Alcaldía del municipio de la Virginia (Risaralda), no cuenta con un departamento de sistemas estructurado que permitiera el acceso y manejo de la información interna y de los recursos informáticos con los que dispone a la administración actual. Lo que dificulta el adecuado aprovechamiento de los recursos disponibles y el generar estrategias de largo plazo relacionadas con la actualización tecnológica. Para el fortalecimiento de la seguridad de la información y de los recursos informáticos, que posee la administración actual se diseñaron políticas de seguridad para mejorar el funcionamiento de los procesos existentes; controlar a los funcionarios, proteger los equipos y la información que maneja la alcaldía municipal de la Virginia. Sin embargo es importante aclarar que el éxito de esta propuesta depende del compromiso de apropiación y aplicación por cada uno de los trabajadores de la alcaldía frente a las recomendaciones realizadas. Se realizaron una serie de capacitaciones y socializaciones de las políticas de seguridad con cada uno de los funcionarios, en las cuales se asesoró en el manejo de las copias de seguridad, acceso y protección de los recursos informáticos. Esperando que este sea el punto de partida para un trabajo autónomo posterior que permita seguir enriqueciendo, mejorando y planteando políticas cada vez más acordes a la labor que se realiza en la organización. La realización de la práctica profesional permite establecer una correlación entre los conocimientos teóricos obtenidos a lo largo de la carreara y las necesidades reales de una organización, por lo tanto se considera una experiencia muy productiva para la formación del futuro Ingeniero de Sistemas y Telecomunicaciones y un espacio de crecimiento personal y profesional para el estudiante.

69

RECOMENDACIONES

Para mejor manejo de los recursos informáticos e información de la alcaldía municipal de la Virginia (Risaralda), se es necesaria la creación de un departamento de sistemas que regule todo lo relacionado con sistemas. Se recomienda la adquisición de antivirus y otros programas para la protección de la información y acceso a la red, con el fin de mejorar la calidad de los procesos y acceso a la información.

70

BIBLIOGRAFIA

Introducción a los sistemas de bases de datos Escrito por C. J. Date, Sergio Luis María Ruiz Faudón, Felipe López Gamino Diseño conceptual de bases de datos Escrito por Carlo Batini, Shamkant B Navathe, Stefano Ceri, Antonio Víctor Martín García, Diego Seguridad en la informática de empresa Escrito por Jean-Marc Royer, Xavier Angelet http://www.dnic.unal.edu.co/docs/guia_para_elaborar_politicas_v1_0.pdf http://www.unal.edu.co/seguridad/documentos/guia_para_elaborar_politicas_v1_0.pdf

71

APÉNDICES En esta parte, el usuario al iniciar el programa el código verifica que el usuario si exista en la Base de Datos. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" /> <title>Alcaldia Municipal</title> </head> <body> <?php //================= Conexión ================================= //========================================================== include('conectar.php'); $conexion=conectar(); //=========================================================== //========== Primera Consulta de validadción====================== $usuario = mysql_query("select nick_usuario,contraseña,nivel from usuario") or die (mysql_error()); //========================================================== /===================== Ejecución del programa==================== $acceso=0; $nombre = $_POST["nombre"]; $clave = $_POST["clave"]; //===================Consulta de Datos========================= while ($data = mysql_fetch_array($usuario)) { if($data["nick_usuario"]==$nombre) { if($data["contraseña"]==$clave)

72

{ if($data["nivel"]==1) {$acceso=1;} elseif($data["nivel"]==2) {$acceso=2;} } } } mysql_close($conexion); if($acceso==0) { $res=" POR FAVOR VERIFIQUE SU USUARIO Y/O CONTRASEÑA "; include ("index.php"); } if($acceso==1) { $sessio=1; include('principal1.php'); } if($acceso==2) { $sessio=2; include('principal.php'); } ?> </body> </html> Este Fragmento de código es en el cual el usuario ingresa el nombre de usuario y contraseña. <! DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>ALCALDIA MUNICIPAL</title> <style type="text/css">

73

 </style> </head> <body> <div align="center"> <table width="432" border="0"> <tr> <td width="15" rowspan="6"><img src="imagenes/Imagen3.png" width="145" height="146" /></td> <td> </td> <td width="167" rowspan="6"><img src="imagenes/Imagen2.png" width="167" height="140" /></td> </tr> <tr> <td> </td> </tr> <tr> <td width="706"><div align="center"><span class="Estilo2">ALCALDIA MUNICIPAL </span></div></td> </tr> <tr> <td><div align="center"><span class="Estilo2">LA VIRGINIA RISARALDA </span></div></td> </tr> <tr> <td height="22"> </td> </tr> <tr> <td> </td> </tr> <tr> <td colspan="3"><div align="center"> <p> </p> <p> </p> <p> </p> </div></td> </tr> <tr> <td colspan="3"><div align="center"> <form id="form3" name="form3" method="post" action="confirmacion.php">

74

<label>USUARIO <input type="text" name="nombre" /> </label> <p> <label for="textfield">CONTRASEÑA </label> <input type="password" name="clave" id="textfield" /> </p> <p> <input type="submit" name="textfield2" id="textfield" /> </p> <p><?php echo $res;?> <p><a href="funcionario.php">registrar usurio</a> </p> </form> <p> </p> </div></td> </tr> <tr> <td colspan="3"><div align="center"> <p> </p> <p> </p> <table width="100" border="0"> <tr> <td><object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0" width="100" height="22" title="aceptar"> <param name="BGCOLOR" value="" /> <param name="movie" value="button4.swf" /> <param name="quality" value="high" /> <embed src="button4.swf" quality="high" pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash" width="100" height="22" ></embed> </object></td> <td> <p> </p> <table width="100" border="0"> <tr> <td> </td> </tr> </table> <p> </p> </td> <td><object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000"

75

codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0" width="100" height="22"> <param name="movie" value="button5.swf" /> <param name="quality" value="high" /> <embed src="button5.swf" quality="high" pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash" width="100" height="22" ></embed> </object></td> </tr> </table> <p> </p> </p> </div></td> </tr> <tr> <td colspan="3"><div align="center">________________________________________________________________________________________________________________</div></td> </tr> <tr> <td colspan="3"><div align="center">"La Virginia en Buenas Manos"</div></td> </tr> <tr> <td colspan="3"><div align="center">Palacio Municipal Cra 8 N. 5-35 NIT 891.480.027-1 </div></td> </tr> <tr> <td colspan="3"><div align="center">PBX 3682673 FAX 3684543 www.lavirginia-risaralda.gov.co</div></td> </tr> </table> <p> </p> <p> </p> <p> </p> <p> </p> </div> </body> </html>

76

Menú principal, contiene una serie de opciones para algunos usuarios con privilegios. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" /> <title>Documento sin título</title> <style type="text/css">  </style> </head> <body> <div align="center"> <table width="975" border="0"> <tr> <td width="145" rowspan="6"><img src="imagenes/Imagen3.png" width="145" height="146" /></td> <td width="649"> </td> <td width="167" rowspan="6"><img src="imagenes/Imagen2.png" width="167" height="140" /></td> </tr> <tr> <td> </td> </tr> <tr> <td><div align="center"><span class="Estilo2">ALCALDIA MUNICIPAL </span> </div></td> </tr> <tr> <td><div align="center"><span class="Estilo2">LA VIRGINIA RISARALDA</span></div></td> </tr> <tr> <td> </td> </tr> <tr> <td> </td> </tr> </table> </div> <p align="center"> </p>

77

<div align="center"> <table width="567" border="1"> <tr> <td width="301"> </td> <td width="256" rowspan="6"><div align="center"><img src="imagenes/Imagen2.png" width="167" height="140" /></div></td> </tr> <tr> <td> <?php echo"<a href=\"oficio.php?sessio=$sessio\"> <font face=\"Courier New,Courier,Monaco\" size=\"2\" color=\"#696969\">Enviar Oficio</font></a>"; ?> </td> </tr> <tr> <td width="301"> <?php echo"<a href=\"responder_oficio.php?sessio=$sessio\"> <font face=\"Courier New,Courier,Monaco\" size=\"2\" color=\"#696969\">Responder Oficio</font></a>"; ?> </td> </tr> <tr> <td> <?php echo"<a href=\"enviados_dependencia.php?sessio=$sessio\"> <font face=\"Courier New,Courier,Monaco\" size=\"2\" color=\"#696969\">Consulta de Oficios Enviados</font></a>"; ?> </td> </tr> <tr> <td><?php echo"<a href=\"respondidos_dependencias.php?sessio=$sessio\"> <font face=\"Courier New,Courier,Monaco\" size=\"2\" color=\"#696969\">Consultar de Oficios Respondidos</font></a>"; ?> </td> </tr> <tr> <td> </td> </tr>

78

</table> </div> <p align="center"> </p> </p> <div align="center"> <table width="478" border="0"> <tr> <td width="472"><div align="center">________________________________________________________________________________________________________________</div></td> </tr> <tr> <td><div align="center">"La Virginia en Buenas Manos"</div></td> </tr> <tr> <td><div align="center">Palacio Municipal Cra 8 N. 5-35 NIT 891.480.027-1</div></td> </tr> <tr> <td><div align="center">PBX 3682673 FAX 3684543 www.lavirginia-risaralda.gov.co</div></td> </tr> </table> </div> <p align="center"> </p> <p> </p> <p> </p> </body> </html>

79

Principal, es el menú par los usuarios normales. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" /> <title>Documento sin título</title> <style type="text/css">  </style> </head> <body> <div align="center"> <table width="975" border="0"> <tr> <td width="145" rowspan="6"><img src="imagenes/Imagen3.png" width="145" height="146" /></td> <td width="649"> </td> <td width="167" rowspan="6"><img src="imagenes/Imagen2.png" width="167" height="140" /></td> </tr> <tr> <td> </td> </tr> <tr> <td><div align="center"><span class="Estilo2">ALCALDIA MUNICIPAL </span> </div></td> </tr> <tr> <td><div align="center"><span class="Estilo2">LA VIRGINIA RISARALDA</span></div></td> </tr> <tr> <td> </td> </tr> <tr> <td> </td> </tr> </table> </div> <p align="center"> </p> <div align="center">

80

<table width="657" border="1"> <tr> <td width="474"> </td> <td width="167" rowspan="8"><div align="center"></div> <img src="imagenes/Imagen2.png" width="167" height="140" /></td> </tr> <tr> <td> <?php echo"<a href=ingreso_info.php?sessio=$sessio\"> <font face=\"Courier New,Courier,Monaco\" size=\"2\" color=\"#696969\">Enviar Oficio</font></a>"; ?> </td> </tr> <tr> <td> <?php echo"<a href=responder_oficio.php?sessio=$sessio\"> <font face=\"Courier New,Courier,Monaco\" size=\"2\" color=\"#696969\">Responder Oficio</font></a>"; ?> </td> </tr> <tr> <td> <?php echo"<a href=\"enviados.php?sessio=$sessio\"> <font face=\"Courier New,Courier,Monaco\" size=\"2\" color=\"#696969\">Consulta de Oficios Enviados</font></a>"; ?> </td> </tr> <tr> <td> <?php echo"<a href=\"respondidos.php?sessio=$sessio\"> <font face=\"Courier New,Courier,Monaco\" size=\"2\" color=\"#696969\">Consultar de Oficios Respondidos</font></a>"; ?> </td> </tr> <tr> <td> <?php

81

echo"<a href=\"consulta_usuarios.php?sessio=$sessio\"> <font face=\"Courier New,Courier,Monaco\" size=\"2\" color=\"#696969\">Consultar por Usuarios</font></a>"; ?> </td> </tr> <tr> <td> <?php echo"<a href=\"consulta_dependencia.php?sessio=$sessio\"> <font face=\"Courier New,Courier,Monaco\" size=\"2\" color=\"#696969\">Consultar por dependencia</font></a>"; ?> </td> </tr> <tr> <td> </td> </tr> </table> </div> <p align="center"> </p> <p align="center"> </p> <div align="center"> <table width="478" border="0"> <tr> <td width="472"><div align="center">________________________________________________________________________________________________________________</div></td> </tr> <tr> <td><div align="center">"La Virginia en Buenas Manos"</div></td> </tr> <tr> <td><div align="center">Palacio Municipal Cra 8 N. 5-35 NIT 891.480.027-1</div></td> </tr> <tr> <td><div align="center">PBX 3682673 FAX 3684543 www.lavirginia-risaralda.gov.co</div></td> </tr> </table> </div> <p align="center"> </p> <p> </p>

82

<p> </p> </body> </html> Conectar <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" /> <title>Alcaldia Municipal</title> </head> <body> <?php //============== Conexión ================================== function conectar() { $link=mysql_connect("localhost","root","") or die (mysql_error()); mysql_select_db ("webalcaldia",$link) or die (mysql_error()); return $link; } ?> </body> </html>

83

ANEXOS

Política oficial de Seguridad Informática del CICESE Vigente a partir del 28 de mayo de 2001 Dirección de Telemática Carretera Tijuana-Ensenada Km. 107 Ensenada, B.C. (61) 74-5050 al 53 [email protected]

84

Exposición de motivos Ante el esquema de globalización que las tecnologías de la información han originado principalmente por el uso masivo y universal de la Internet y sus tecnologías, las instituciones se ven inmersas en ambientes agresivos donde el delinquir, sabotear, robar se convierte en retos para delincuentes informáticos universales conocidos como Hackers, Crakers, etc., es decir en transgresores. Conforme las tecnologías se han esparcido, la severidad y frecuencia las han transformado en un continuo riesgo, que obliga a las entidades a crear medidas de emergencia y políticas definitivas para contrarrestar estos ataques y transgresiones. En nuestro país no existe una sola institución que no se haya visto sujeta a los ataques en sus instalaciones, tanto desde el interior como del exterior, basta decir que cuando en el centro estamos sujetos a un ataque un grupo de gente se involucran y están pendientes de éste, tratando de contrarrestar y anular estas amenazas reales. Después del diagnóstico que llevó a cabo el proyecto de año 2000, se observó que cerca del 30% del equipo que se encuentra en la Institución no está en inventario. Nuestra carencia de recursos humanos involucrados en seguridad, la escasa concientización, la falta de visión y las limitantes económicas han retrasado el plan rector de seguridad que se requiere. El objetivo principal de la Dirección de Telemática es brindar a los usuarios los recursos informáticos con la cantidad y calidad que demandan, esto es, que tengamos continuidad en el servicio los 365 días del año confiable. Así, la cantidad de recursos de cómputo y de telecomunicaciones con que cuenta el Centro son de consideración y se requiere que se protejan para garantizar su buen funcionamiento. La seguridad de las instituciones en muchos de los países se ha convertido en cuestión de seguridad nacional, por ello contar con un documento de políticas de seguridad es imprescindible, y debe de plasmar mecanismos confiables que con base en la política institucional proteja los activos del Centro. Así pues, ante este panorama surge el siguiente proyecto de políticas rectoras que harán que la Dirección de Telemática pueda disponer de los ejes de proyección que en materia de seguridad la Institución requiere. Resumen El presente es una propuesta de las políticas de seguridad que en materia de informática y de comunicaciones digitales de la Dirección de Telemática del CICESE, ha elaborado, para normar a la institución en estos rubros.

85

Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la práctica como son: los inventarios y su control, se mencionan, así como todos los aspectos que representan un riesgo o las acciones donde se ve involucrada y que compete a las tecnologías de la información; se han contemplado también las políticas que reflejan la visión de la actual administración respecto a la problemática de seguridad informática institucional. La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenir con las garantías básicas del individuo, y no pretende ser una camisa de fuerza, y más bien muestra una buena forma de operar el sistema con seguridad, respetando en todo momento estatutos y reglamentos vigentes de la Institución. Introducción Los requerimientos de seguridad que involucran las tecnologías de la información, en pocos años han cobrado un gran auge, y más aún con las de carácter globalizador como los son la de Internet y en particular la relacionada con el Web, la visión de nuevos horizontes explorando más allá de las fronteras naturales, situación que ha llevado la aparición de nuevas amenazas en los sistemas computarizados. Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales desarrollen políticas que norman el uso adecuado de estas destrezas tecnológicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las políticas de seguridad en informática del CICESE emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la información y servicios críticos, de la superación de las fallas y de las debilidades, de tal forma que permiten al Centro cumplir con su misión. El proponer esta política de seguridad requiere un alto compromiso con la institución, agudeza técnica para establecer fallas y deficiencias, constancia para renovar y actualizar dicha política en función del ambiente dinámico que nos rodea.

86

Políticas de seguridad La Dirección de Telemática está conformada por tres departamentos de servicio, y una dirección. Los departamentos son Informática, Cómputo, y Redes, estos se encargan de brindar servicio directo al usuario, por el ámbito de competencia que tiene cada uno de ellos en materia de informática, desde el equipamiento, instalación, alteración, cambio de lugar, programación, etc. Por lo que ha sido necesario emitir políticas particulares para la Red-CICESE, que es el nombre oficial de un conjunto de recursos y facilidades informáticas, de la infraestructura de telecomunicaciones y servicios asociados a ellos, provistos por la Dirección de Telemática. Así pues este apartado contiene una clasificación de estas políticas, y son: Del equipo De la instalación de equipo de cómputo.

• Todo el equipo de cómputo (computadoras, estaciones de trabajo, supercomputadoras, y equipo accesorio), que esté o sea conectado a la Red- CICESE, o aquel que en forma autónoma se tenga y que sea propiedad de la institución debe de sujetarse a las normas y procedimientos de instalación que emite el departamento de Redes de la Dirección de Telemática.

• La Dirección de Telemática en coordinación con el departamento de Control Patrimonial deberá tener un registro de todos los equipos propiedad del CICESE.

• El equipo de la institución que sea de propósito específico y tenga una misión crítica asignada, requiere estar ubicado en un área que cumpla con los requerimientos de: seguridad física, las condiciones ambientales, la alimentación eléctrica, su acceso que la Dirección de Telemática tiene establecido en su normatividad de este tipo.

• Los responsables de las áreas de apoyo interno de los departamentos deberán en conjunción con el departamento de Redes dar cabal cumplimiento con las normas de instalación, y notificaciones correspondientes de actualización, reubicación, reasignación, y todo aquello que implique movimientos en su ubicación, de adjudicación, sistema y misión.

• La protección física de los equipos corresponde a quienes en un principio se les asigna, y corresponde notificar los movimientos en caso de que existan, a las autoridades correspondientes (departamento de

87

Mantenimiento, departamento de Cómputo, departamento de Control Patrimonial, y otros de competencia).

Del mantenimiento de equipo de cómputo.

• Al departamento de Redes de la Dirección de Telemática, corresponde la realización del mantenimiento preventivo y correctivo de los equipos, la conservación de su instalación, la verificación de la seguridad física, y su acondicionamiento específico a que tenga lugar. Para tal fin debe emitir las normas y procedimientos respectivos.

• En el caso de los equipos atendidos por terceros la Dirección de Telemática deberá normar al respecto.

• El personal técnico de apoyo interno de los departamentos académicos se apegará a los requerimientos establecidos en las normas y procedimientos que el departamento de Redes emita.

• Los responsables de las áreas de Cómputo de un departamento pueden otorgar mantenimiento preventivo y correctivo, a partir del momento en que sean autorizados por el departamento de Redes.

• Corresponde al departamento de Redes dar a conocer las listas de las personas, que puedan tener acceso a los equipos y brindar los servicios de mantenimiento básico, a excepción de los atendidos por terceros.

• Por motivos de normatividad expedidos por la SECODAM queda estrictamente prohibido dar mantenimiento a equipo de cómputo que no es propiedad de la institución.

De la actualización del equipo.

• Todo el equipo de cómputo (computadoras personales, estaciones de trabajo, supercomputadora y demás relacionados), y los de telecomunicaciones que sean propiedad del CICESE debe procurarse sea actualizado tendiendo a conservar e incrementar la calidad del servicio que presta, mediante la mejora sustantiva de su desempeño.

De la reubicación del equipo de cómputo.

• La reubicación del equipo de cómputo se realizará satisfaciendo las normas y procedimientos que el departamento de Redes emita para ello.

• En caso de existir personal técnico de apoyo de los departamentos académicos, éste notificará de los cambios tanto físicos como de software de red que realice al departamento de Redes, y en su caso si

88

cambiará de responsable (el equipo) al departamento de Control Patrimonial de la Subdirección de Recursos Materiales y Servicios. Notificando también los cambios de equipo inventariado (cambio de monitores, de impresoras etc.).

• El equipo de cómputo a reubicar sea del CICESE o bien externo se hará únicamente bajo la autorización del responsable contando el lugar a donde se hará la ubicación con los medios necesarios para la instalación del equipo.

Del control de accesos Del acceso a áreas críticas.

• El acceso de personal se llevará acabo de acuerdo a las normas y procedimientos que dicta la Dirección de Telemática.

• En concordancia con la política de la institución y debido a la naturaleza de estas áreas se llevará un registro permanente del tráfico de personal, sin excepción.

• La Dirección de Telemática deberá proveer de la infraestructura de seguridad requerida con base en los requerimientos específicos de cada área.

• Bajo condiciones de emergencia o de situaciones de urgencia manifiesta, el acceso a las áreas de servicio crítico estará sujeto a las que especifiquen las autoridades superiores de la institución.

Del control de acceso al equipo de cómputo.

• Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su competencia hacer buen uso de los mismos.

• Las áreas donde se tiene equipo de propósito general cuya misión es crítica estarán sujetas a los requerimientos que la Dirección de Telemática emita.

• Las áreas de cómputo de los departamentos donde se encuentre equipo cuyo propósito reúna características de imprescindible y de misión crítica, deberán sujetarse también a las normas que establezca la Dirección de Telemática.

• Los accesos a las áreas de críticas deberán de ser clasificados de acuerdo a las normas que dicte la Dirección de Telemática de común acuerdo con su comité de seguridad informática.

89

• Dada la naturaleza insegura de los sistemas operativos y su conectividad en la red, la Dirección de Telemática tiene la facultad de acceder a cualquier equipo de cómputo que no estén bajo su supervisión.

Del control de acceso local a la red.

• El departamento de Cómputo de la Dirección de Telemática es responsable de proporcionar a los usuarios el acceso a los recursos informáticos.

• La Dirección de Telemática es la responsable de difundir el reglamento para el uso de la red y de procurar su cumplimiento.

• Dado el carácter unipersonal del acceso a la Red-CICESE, el departamento de Cómputo verificará el uso responsable, de acuerdo al Reglamento para el uso de la red.

• El acceso lógico a equipo especializado de cómputo (servidores, enrutadores, bases de datos, equipo de súper cómputo centralizado y distribuido, etc.) conectado a la red es administrado por el departamento de Cómputo.

• Todo el equipo de cómputo que esté o sea conectado a la Red-CICESE, o aquellas que en forma autónoma se tengan y que sean propiedad de la institución, debe de sujetarse a los procedimientos de acceso que emite el departamento de Cómputo.

De control de acceso remoto.

• La Dirección de Telemática es la responsable de proporcionar el servicio de acceso remoto y las normas de acceso a los recursos informáticos disponibles.

• Para el caso especial de los recursos de supercómputo a terceros deberán ser autorizados por la Dirección General o por la Dirección de Vinculación.

• El usuario de estos servicios deberá sujetarse al Reglamento de uso de la Red-CICESE y en concordancia con los lineamientos generales de uso de Internet.

• El acceso remoto que realicen personas ajenas a la institución deberá cumplir las normas que emite la Dirección de Telemática.

90

De acceso a los sistemas administrativos.

• Tendrá acceso a los sistemas administrativos solo el personal del CICESE que es titular de una cuenta de gastos o bien tenga la autorización del responsable si se trata de personal de apoyo administrativo o técnico.

• El manejo de información administrativa que se considere de uso restringido deberá ser cifrada con el objeto de garantizar su integridad.

• Tendrá acceso al sistema de información de la Dirección de Estudios de Posgrado sólo aquellos usuarios de Red-CICESE o externos autorizados por dicha dirección.

• La instalación y uso de los sistemas de información se rigen por el reglamento de uso de la Red-CICESE y por las normas y procedimientos establecidos por el departamento de Informática.

• Los servidores de bases de datos administrativos son dedicados, por lo que se prohíben los accesos de cualquiera, excepto para el personal del departamento de

Informática.

• El control de acceso a cada sistema de información de la Dirección Administrativa será determinado por la unidad responsable de generar y procesar los datos involucrados.

Del WWW.

• En concordancia con la legislación federal y de común acuerdo con las políticas generales de informática, la Dirección de Telemática a través del departamento de Cómputo es el responsable de instalar y administrar el o los servidor(es) WWW. Es decir, sólo se permiten servidores de páginas autorizados por la Dirección de Telemática.

• El departamento de Cómputo deberá emitir las normas y los requerimientos para la instalación de servidores de páginas locales, de bases de datos, del uso de la Intranet institucional, así como las especificaciones para que el acceso a estos sea seguro.

• Los accesos a las páginas de web a través de los navegadores deben sujetarse a las normas que previamente se manifiestan en el Reglamento de acceso a la Red-CICESE.

91

• A los responsables de los servidores de Web corresponde la verificación de respaldo y protección adecuada.

• Toda la programación involucrada en la tecnología Web deberá estar de acuerdo con las normas y procedimientos que la Dirección de Telemática emita.

• El material que aparezca en la página de Internet del CICESE deberá ser aprobado por la Dirección de Telemática, respetando la ley de propiedad intelectual (derechos de autor, créditos, permisos y protección, como los que se aplican a cualquier material impreso).

• En concordancia con la libertad de investigación, se acepta que en la red del CICESE conectada a Internet pueda ponerse información individual sin autorización (siempre y cuando no contravenga las disposiciones que se aplican a las instituciones gubernamentales paraestatales), por ejemplo: corcho de difusión ("bulletin board"), página personal ("home page"), pero deberá llevar el enunciado siguiente: "Las expresiones, opiniones o comentarios que aquí aparecen pertenecen al autor individual y no necesariamente al CICESE"; no debe Ilevar el logotipo oficial del Centro y deberá siempre responder a un comportamiento profesional y ético.

• Con referencia a la seguridad y protección de las páginas, así como al diseño de las mismas deberá referirse a las consideraciones de diseño de páginas electrónicas establecidas por la Dirección de Telemática.

• La Dirección de Telemática tiene la facultad de llevar a cabo la revisión periódica de los accesos a nuestros servicios de información, y conservar información del tráfico.

De utilización de los recursos de la red

• Los recursos disponibles a través de la Red-CICESE serán de uso exclusivo para asuntos relacionados con las actividades sustantivas del centro.

• La Dirección de Telemática es la responsable de emitir y dar seguimiento al Reglamento para el uso de la Red.

• De acuerdo con las disposiciones de la SECODAM, corresponde a la Dirección de Telemática administrar, mantener y actualizar la infraestructura de la Red-CICESE.

92

• La Dirección de Telemática debe propiciar el uso de las tecnologías de la información con el fin de contribuir con las directrices económicas y ecológicas de la institución.

• Dado el carácter confidencial que involucra el correo electrónico el Comité de informática del Centro emite su reglamentación.

Del Software De la adquisición de software.

• En concordancia con la política de la institución, el Comité de Informática y la Dirección de Telemática son los organismos oficiales del Centro para establecer los mecanismos de procuración de sistemas informáticos.

• Del presupuesto de los proyectos que se otorga a las diferentes áreas del CICESE una cantidad deberá ser aplicada para la adquisición de programación con licencia.

• De acuerdo con el Programa Nacional de Informática, la Dirección General en conjunto con el Comité de Informática y la Dirección de Telemática, propiciará la adquisición de licencias de sitio, licencias flotantes, licencias por empleado y de licencias en cantidad, para obtener economías de escala y de acorde al plan de austeridad del gobierno de la república.

• Corresponderá a la Dirección de Telemática emitir las normas para el tipo de licenciamiento, cobertura, transferibilidad, certificación y vigencia.

• De acuerdo a los objetivos globales de la Dirección de Telemática se deberá propiciar la adquisición y asesoramiento en cuanto a software de vanguardia.

• En cuanto a la paquetería sin costo deberá respetarse la propiedad intelectual intrínseca del autor.

• La Dirección de Telemática promoverá y propiciará que la adquisición de software de dominio público provenga de sitios oficiales y seguros.

• La Dirección de Telemática deberá promover el uso de sistemas programáticos que redunden en la independencia de la institución con los proveedores.

93

De la instalación de software.

• Corresponde al departamento de Cómputo emitir las normas y procedimientos para la instalación y supervisión del software básico para cualquier tipo de equipo.

• En los equipos de cómputo, de telecomunicaciones y en dispositivos basados en sistemas de cómputo, únicamente se permitirá la instalación de software con licenciamiento apropiado y de acorde a la propiedad intelectual.

• Los departamentos de Cómputo y de Informática son los responsables de brindar asesoría y supervisión para la instalación de software informático, así mismo el departamento de Redes para el software de telecomunicaciones.

• La instalación de software que desde el punto de vista de la Dirección de Telemática pudiera poner en riesgo los recursos de la institución no está permitida.

• Con el propósito de proteger la integridad de los sistemas informáticos y de telecomunicaciones, es imprescindible que todos y cada uno de los equipos involucrados dispongan de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se apliquen).

• La protección lógica de los sistemas corresponde a quienes en un principio se les asigna y les compete notificar cualquier movimiento al departamento de Cómputo.

De la actualización del software.

• La adquisición y actualización de software para equipo especializado de cómputo y de telecomunicaciones se llevará a cabo de acuerdo a la calendarización que anualmente sea propuesta por la Dirección de Telemática.

• Corresponde a la Dirección de Telemática autorizar cualquier adquisición y actualización del software.

• Las actualizaciones del software de uso común o más generalizado se llevarán a cabo de acuerdo al plan de actualización desarrollado por la Dirección de Telemática.

94

De la auditoría de software instalado.

• El departamento de Contraloría Interna del CICESE es el responsable de realizar revisiones periódicas para asegurar que sólo programación con licencia esté instalada en las computadoras de la institución.

• La Dirección de Telemática propiciará la conformación de un grupo especializado en auditoría de sistemas de cómputo y sistemas de información.

• Corresponderá al grupo especializado dictar las normas, procedimientos y calendarios de auditoría.

Del software propiedad de la institución.

• Toda la programática adquirida por la institución sea por compra, donación o cesión es propiedad de la institución y mantendrá los derechos que la ley de propiedad intelectual le confiera.

• La Dirección de Telemática en coordinación con el departamento de Control Patrimonial deberá tener un registro de todos los paquetes de programación propiedad del CICESE.

• Todos los sistemas programáticos (programas, bases de datos, sistemas operativos, interfaces) desarrollados con o a través de los recursos del CICESE se mantendrán como propiedad de la institución respetando la propiedad intelectual del mismo.

• Es obligación de todos los usuarios que manejen información masiva, mantener el respaldo correspondiente de la misma ya que se considera como un activo de la institución que debe preservarse.

• Los datos, las bases de datos, la información generada por el personal y los recursos informáticos de la institución deben estar resguardados.

• Corresponderá a la Dirección de Telemática promover y difundir los mecanismos de respaldo y salvaguarda de los datos y de los sistemas programáticos.

• La Dirección de Telemática en conjunto con el Dirección de Vinculación propiciará la gestión de patentes y derechos de creación de software propiedad de la institución.

95

• La Dirección de Telemática administrará los diferentes tipos de licencias de software y vigilará su vigencia en concordancia con la política informática.

Sobre el uso de software académico.

• Cualquier software que requiera ser instalado para trabajar sobre la Red-CICESE deberá ser evaluado por la Dirección de Telemática.

• Todo el software propiedad de la institución deberá ser usado exclusivamente para asuntos relacionados con las actividades del Centro.

De la propiedad intelectual.

• Corresponde a la Dirección de Telemática procurar que todo el software instalado en la Red-CICESE esté de acuerdo a la ley de propiedad intelectual a que dé lugar.

De supervisión y evaluación

• Cada uno de los departamentos de la Dirección de Telemática donde esté en riesgo la seguridad en la operación, servicio y funcionalidad del departamento, deberá emitir las normas y los procedimientos que correspondan.

• Las auditorías de cada actividad donde se involucren aspectos de seguridad lógica y física deberán realizarse periódicamente y deberá sujetarse al calendario que establezca la Dirección de Telemática y/o el grupo especializado de seguridad.

• Para efectos de que la institución disponga de una red con alto grado de confiabilidad, será necesario que se realice un monitoreo constante sobre todos y cada uno de los servicios que las tecnologías de la Internet e Intranet disponen.

• Los sistemas considerados críticos, deberán estar bajo monitoreo permanente.

Generales.

• Cada uno de los departamentos deberán de emitir los planes de contingencia que correspondan a las actividades críticas que realicen.

96

• Debido al carácter confidencial de la información, el personal de la Dirección de Telemática deberá de conducirse de acuerdo a los códigos de ética profesional y normas y procedimientos establecidos.

Sanciones.

• Cualquier violación a las políticas y normas de seguridad deberá ser sancionada de acuerdo al reglamento emitido por la Dirección de Telemática.

• Las sanciones pueden ser desde una llamada de atención o informar al usuario hasta la suspensión del servicio dependiendo de la gravedad de la falta y de la malicia o perversidad que ésta manifiesta.

• Corresponderá al Comité de Informática hacer las propuestas finales sobre las sanciones a quienes violen las disposiciones en materia de informática de la institución.

• Todas las acciones en las que se comprometa la seguridad de la Red-CICESE y que no estén previstas en esta política, deberán ser revisadas por la Dirección General y la Dirección de Telemática para dictar una resolución sujetándose al estado de derecho.

Referencias

1. Cano, Heimy J. (1998). Pautas y Recomendaciones para Elaborar Políticas de Seguridad Informática (PSI). Universidad de los Andes, Colombia.

2. Organisation for Economic Cooperation and Development (OEDC) Guidelines for Security of Information Systems. 1992.

3. Swanson, et al. (1996) National Institute of Standard and Technology (NIST). General Principles for Information Systems Security Policies.

97

Notas

1. Esta política de seguridad deberá seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, desarrollo de nuevos servicios, entre otros.

2. El documento que contiene la política de seguridad deber ser difundido a todo el personal involucrado en la definición de estas políticas.

Glosario. Departamento de Cómputo. Es la entidad encargada del buen uso de las tecnologías de la computación, organización y optimización de los recursos computacionales de la institución. Departamento de Redes. Es la entidad encargada de desarrollar el plan estratégico de conectividad del centro (CICESE) que favorezca la prestación de servicios eficientes, eficaces y de utilidad en la transmisión de datos, voz y video para apoyar efectivamente los requerimientos del usuario. Departamento de Informática. Es la entidad encargada de ofrecer sistemas de información administrativa integral permitiendo en forma oportuna satisfacer necesidades de información, como apoyo en el desarrollo de las actividades propias del centro. Bases de Datos. Es un conjunto de datos interrelacionados y un conjunto de programas para acezarlos. Una recopilación de datos estructurados y organizados de una manera disciplinada para que el acceso a la información de interés sea rápido. WWW (World Wide Web). Es una convergencia de conceptos computacionales para presentar y enlazar información que se encuentra dispersa a través de internet en una forma fácilmente accesible. Sistema avanzado para navegar a través de internet.

98

Área Crítica. Es el área física donde se encuentra instalado el equipo de cómputo y telecomunicaciones que requiere de cuidados especiales y son indispensables para el funcionamiento continuo de los sistemas de comunicación del centro. (o del CICESE). Equipo de Telecomunicaciones. Todo dispositivo capaz de transmitir y/o recibir señales digitales o analógicas para comunicación de voz, datos y video, ya sea individualmente o de forma conjunta. Equipo de Cómputo. Dispositivo con la capacidad de aceptar y procesar información en base a programas establecidos o instrucciones previas, teniendo la oportunidad de conectarse a una red de equipos o computadoras para compartir datos y recursos, entregando resultados mediante despliegues visuales, impresos o audibles. Bulletin Board System. Es un nombre elegante para un sistema electrónico de mensajes operado en una microcomputadora y que permite leer o dejar mensajes. El sistema es como una pizarra física de boletín. De ahí es de donde viene el nombre. Algunas personas llaman a los sistemas de pizarra de boletín sistemas de correo electrónico. SECODAM - Secretaria de Contraloria y Desarrollo Administrativo. IP - Internet Protocol. Parte de la familia de protocolos TCP/IP, que describe el software que supervisa las direcciones de nodo internet, encamina mensajes salientes y reconoce los mensajes entrantes. Dirección de INTERNET. Identificador único de 32 bits para una computadora principal TCP/IP en una RED. También llamada un Protocolo Internet o dirección IP. Las direcciones IP están normalmente impresas en una forma decimal de puntos, tal como 150.123.50.334

99

Auditoría. Llevar a cabo una inspección y examen independiente de los registros del sistema y actividades para probar la eficiencia de la seguridad de datos y procedimientos de integridad de datos, para asegurar el cumplimiento con la política establecida y procedimientos operativos, y para recomendar cualquier cambio que se estime necesario. Control de Acceso.

1. Técnica usada para definir el uso de programas o limitar la obtención y almacenamiento de datos a una memoria.

2. Una característica o técnica en un sistema de comunicaciones para permitir o negar el uso de algunos componentes o algunas de sus funciones.

definiciÓn de polÍticas de seguridad y desarrollo de...

Documents