1.2
ELABORA EL PLAN
DE SEGURIDAD EN CÓMPUTO A CORDE CON LOS
RIESGOS DETERMINADOS Y ESTANDARES DE PROTECCION.
A)
ANALIZAR MODELOS Y BUENAS PRACTICAS
DE SEGURIDAD INFORMÁTICA QUE CONTEMPLE LOS SIGUIENTES CONCEPTOS:
ITIL:
(Tecnologías
de Información) frecuentemente abreviada
ITIL, es un marco de trabajo de las mejores prácticas destinadas a facilitar la
entrega de servicios de tecnologías de la información (TI) de alta calidad.
ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar
a las organizaciones a lograr calidad y eficiencia en las operaciones de TI.
Estos procedimientos son independientes del proveedor y han sido desarrollados
para servir de guía para que abarque toda infraestructura, desarrollo y
operaciones de TI.
Aunque se
desarrolló durante los años 1980, ITIL no fue ampliamente adoptada hasta
mediados de los años 1990.
COBIT:
Originalmente se utilizó como procesos TI y cómo
marco de control alineada a los requisitos de negocio. Principalmente se uso
para la comunidad auditora en conjunción con los responsables de procesos de
negocio y de procesos TI.
Con la incorporación de Management Guidelines en
1998, COBIT se utiliza cada vez más cómo marco de trabajo del gobierno TI,
proporcionando herramienta cómo las métricas y los modelos de madurez cómo
complemento al marco de control.
ISM3: Un Sistema de Gestión de la seguridad de la
Información (SGSI)
es, como el nombre lo sugiere, un conjunto de políticas de administración de la
información. El término es utilizado principalmente por la ISO/CDE207.
B)
ANALIZA ESTÁNDARES INTERNACIONALES DE SEGURIDAD INFORMÁTICA DE LOS
SIGUIENTES CONCEPTOS:
BS 17799: ISO/IEC 17799
BS 17799: ISO/IEC 17799
Es un estándar para la seguridad
de la información publicado por primera vez como ISO/IEC 17799:2000 por la International
Organization for Standardization y por la Comisión
Electrotécnica Internacional en el año2000, con el título de Information technology - Security techniques - Code of practice for
information security management. Tras un periodo de revisión y
actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC
17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS
7799-1 que fue publicado por primera vez en 1995.
SERIE ISO 27000:
La información es un
activo vital para el éxito y la continuidad en el mercado de cualquier
organización. El aseguramiento de dicha información y de los sistemas que la
procesan es, por tanto, un objetivo de primer nivel para la organización.
Para
la adecuada gestión de la seguridad de la información, es necesario implantar
un sistema que aborde esta tarea de una forma metódica, documentada y basada en
unos objetivos claros de seguridad y una evaluación de los riesgos a los que
está sometida la información de la organización.
ISO/IEC
27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestión de la
seguridad de la información utilizable por cualquier tipo de organización,
pública o privada, grande o pequeña.
En este apartado se resumen las
distintas normas que componen la serie ISO 27000 y se indica cómo puede una
organización implantar un sistema de gestión de seguridad de la información
(SGSI) basado en ISO 27001.
SERIE ISO 27001:
El
estándar para la seguridad de la información ISO/IEC 27001fue aprobado y
publicado como estándar internacional en octubre de 2005 por Internacional
Organization for Standardization y por la
comisión Internacional Electrotechnical Commission.
SERIE 27002:
SO/IEC 27002 is an information Security
standard published by the International
Organization for Standardization (ISO) and by
the International Electrotechnical Commission (IEC), entitled Information
technology - Security techniques - Code of practice for information security
management.
ISO/IEC 27002:2005 has developed from BS7799,
published in the mid-1990s. The British Standard was adopted by ISO/IEC as
ISO/IEC 17799:2000, revised in 2005, and renumbered (but otherwise unchanged)
in 2007 to align with the other ISO/IEC 27000-seriesstandards.
SERIE ISO 2000:
La serie ISO/IEC 20000 - Service Management
normalizada y publicada por las organizaciones ISO e IEC l 14 de diciembre de
2005, es el estándar reconocido internacionalmente en gestión de servicios de
TI La serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por
la entidad de normalización británica, la British Standards Institution (BSI).
C) DEFINICIÓN DE PLAN DE SEGURIDAD
INFORMÁTICA:
DEFINICIÓN DE LOS PRINCIPALES ELEMENTOS DE
PROTECCIÓN:
La seguridad informática, es el área de la informática que se enfoca
en la protección de la infraestructura computacional y todo lo relacionado con
esta (incluyendo la información contenida). Para ello existen una serie de
estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para
minimizar los posibles riesgos a la infraestructura o a la información. La
seguridad informática comprende software, bases de datos, metadatos, archivos y
todo lo que la organización valore (activo) y signifique un riesgo si ésta
llega a manos de otras personas. Este tipo de información se conoce como
información privilegiada o confidencial.
·
DEFINICIÓN
DE LAS METAS DE SEGURIDAD A ALCANZAR EN UN PERIODO DE TIEMPO ESTABLECIDO:
La falta de
políticas y procedimientos en seguridad es uno de los problemas más graves que
confrontan las empresas hoy día en lo que se refiere a la protección de sus
activos de información frente a peligros externos e internos. Las políticas de
seguridad son esencialmente orientaciones e instrucciones que indican cómo
manejar los asuntos de seguridad y forman la base de un plan maestro para la
implantación efectiva de medidas de protección tales como: identificación y
control de acceso, respaldo de datos, planes de contingencia y detección de
intrusos. Si bien las políticas varían considerablemente según el tipo de
organización de que se trate, en general incluyen declaraciones generales sobre
metas, objetivos, comportamiento y responsabilidades de los empleados en
relación a las violaciones de seguridad. A menudo las políticas van acompañadas
de normas, instrucciones y procedimientos. Las políticas son obligatorias,
mientras que las recomendaciones o directrices son más bien opcionales.
DEFINICIÓN DE POLÍTICAS
·
DEFINICIÓN
DE POLÍTICAS DE ACCESO FÍSICO A EQUIPOS:
Al crear perfiles
se puedo establecer las diferentes categorías de acceso deseadas por ejemplo a
un "empleado de mantenimiento" se le podrá restringir las áreas a las
cuales tendrá acceso con horarios limitados, mientras que el perfil de usuario
de un "ejecutivos administrativos" puede crearse con mayores
atributos. Esto les permite a los administradores del sistema que el empleado
del aseo no pueda acceder a la puerta de un área restringida en otro horario
que no sea el que se le asigno en el sistema de control de acceso. Por nuestra
experiencia en la implementación de nuestros sistemas de control garantizamos
la perfecta instalación de nuestros equipos en cualquier tipo de puerta o
portón de acceso, utilizando partes y accesorios de primera calidad de
fabricante lideres a nivel mundial. Nuestros sistemas están desarrollado para
utilizar los dispositivos más avanzados del mercado, por ejemplo las
credenciales con las accederá a las aéreas están dotadas de un microchip
inteligente en donde el o los administradores del sistema podrá almacenar la
información necesaria o requerida para atribuir los accesos a cada colaborador
y esto se almacena directamente en la credencial (ver productos) y
adicionalmente lograr alcanzar un mayor nivel de seguridad, implementando
sistemas BIOMÉTRICOS (huella dactilar, palma de la mano, iris del ojo) dando
acceso en forma conjunta con la credencial inteligente(smartcard).
CONTROL DE ACCESO FÍSICO:
Esta solución permite el control de los puntos estratégicos de una
compañía mediante equipos que verifican la identidad de las personas en el
momento de ingresar a las instalaciones. Este tipo de control maneja políticas
totales o parciales de acceso, mantiene. Control de tiempo de las personas que
realizan transacciones. Mediante un manejo avanzado credencialización que
permite controlar, limitar, monitorear y auditar el acceso físico. Este tipo de
sistema es ideal para organizaciones que desea controlar una única área
restringida o múltiples puertas de acceso.
DE ACCESO LÓGICO
A EQUIPOS:
El control de acceso
lógico a sistemas y aplicaciones es la primera barrera a superar por un
atacante para el acceso no autorizado a un equipo y a la información que
contiene. La utilización de métodos de seguridad combinados como la
autenticidad de 2 factores, la biometría y las técnicas de OTP (One Time
Password) y SSO (Single Sign On) permiten reducir la probabilidad de éxito en
los intentos de acceso por personal no autorizado.
PARA LA CREACIÓN DE CUENTAS DE
USUARIO:
En el contexto de la informática, un usuario es aquel que utiliza un
sistema informático. Para que los usuarios puedan obtener seguridad, acceso al
sistema, administración de recursos, etc, dichos usuarios deberán
identificarse. Para que uno pueda identificarse, el usuario necesita una cuenta (una cuenta de usuario) y un usuario, en la mayoría de los casos
asociados a una contraseña. Los usuarios utilizan una interfaz de usuario para
acceder a los sistemas, el proceso de identificación es conocido como
identificación de usuario o acceso del usuario al sistema (del
inglés: "log in").
Los usuarios se caracterizan por ser el tipo de personas que utilizan un sistema sin la amplia experiencia necesaria que se requiere para entender al sistema (en oposición al técnico, hacker u otro perfil que sí se presupone conoce dicho sistema). En el contexto hacker, se les denomina usuarios reales. Véase también Usuario final.
DE
PROTECCIÓN DE RED (FIREWALL)
1.
El
firewall es parte de una política de seguridad completa que crea un perímetro
de defensa diseñada para proteger las fuentes
de información. Esta política de
seguridad podrá incluir publicaciones con las guías de ayuda donde se informe a los usuarios de sus responsabilidades, normas de acceso a la red, política de servicios
en la red, política de autenticidad en acceso remoto o local a usuarios propios
de la red, normas de dial-in y dial-out, reglas de enciptacion de datos y
discos, normas de protección de virus, y entrenamiento. Todos los puntos potenciales de ataque en
la red podrán ser protegidos con el mismo nivel de seguridad. Un firewall de
Internet sin una política de seguridad comprensiva es como poner una puerta de acero en una tienda.
POLÍTICAS DEL FIREWALL.
Las posturas del
sistema firewall describen la filosofía fundamental de la seguridad en la organización.
Estas son dos posturas diametralmente opuestas que la política de un firewall
de Internet puede tomar:
·
"No todo lo
específicamente permitido esta prohibido"
·
"Ni todo lo
específicamente prohibido esta permitido"
la primera
postura asume que un firewall puede obstruir todo el trafico y cada uno de los
servicios o aplicaciones deseadas necesariamente para ser implementadas
básicamente caso por caso.
Esta propuesta
es recomendada únicamente a un limitado numero de servicios soportados
cuidadosamente seleccionados en un servidor. La desventaja es que el punto de
vista de "seguridad" es mas importante que - facilitar el uso - de
los servicios y estas limitantes numeran las opciones disponibles para los
usuarios de la comunidad. Esta propuesta se basa en una filosofía
conservadora donde se desconocen las causas acerca de los que tienen la
habilidad para conocerlas.
La segunda
postura asume que el firewall puede desplazar todo el tráfico y que cada
servicio potencialmente peligroso necesitara ser aislado básicamente caso por
caso. Esta propuesta crea ambientes más flexibles al disponer mas servicios
para los usuarios de la comunidad. La desventaja de esta postura se basa en la
importancia de "facilitar el uso" que la propia - seguridad - del
sistema. También además, el administrador de la red esta en su lugar de
incrementar la seguridad en el sistema conforme crece la red. Desigual a la
primer propuesta, esta postura esta basada en la generalidad de conocer las
causas acerca de los que no tienen la habilidad para conocerlas.
POLÍTICAS PARA LA ADMINISTRACIÓN DEL SOFTWARE DE SEGURIDAD
Software
debe incluir los siguientes lineamientos:
•
Centralizar todas sus compras a través de un departamento de compras u otra
área con autoridad designada dentro de la empresa;
•
Exigir que todas las solicitudes de compra de software se efectúen por escrito
y cuenten con la aprobación del director de departamento;
•
Verificar que los programas solicitados integren la lista de software utilizado
en la empresa;
•
Comprar programas únicamente a vendedores autorizados, de buena reputación;
•
Trabajar solamente con Proveedores de Servicios de Aplicación (ASP) de buena
reputación y garantizar el mantenimiento de toda la documentación y licencias
importantes con dicho ASP;
•
Obtener materiales de usuario (por ejemplo: manuales, tarjetas de registro,
etc.), licencias y recibos originales por cada compra de software;
•
No permitir que los empleados compren programas de software en forma directa ni
los carguen a sus cuentas de gastos;
•
Garantizar que los empleados no puedan bajar los programas de software legales
de Internet sin una aprobación especial; y
•
No permitir que los empleados descarguen aplicaciones de software para operar
sistemas de peer-to-peer (P2P) que puedan utilizarse para comercializar
trabajos protegidos por el derecho de autor.
ACERCA DE LA GESTIÓN DE ACTUALIZACIONES
La gestión de actualizaciones es una
importante función dentro del mantenimiento de cualquier sistema informático,
desde un PC individual a un centro de datos corporativo. La capacidad de
identificar qué actualizaciones existen y distribuirlas en el momento adecuado
de forma automática permite mantener la seguridad y la productividad de los
usuarios en la organización.
Microsoft ofrece tres niveles de productos
de gestión de actualizaciones orientados a cubrir las necesidades de los
usuarios individuales, empresas pequeñas y medianas, y grandes organizaciones.
Para ayudarle a decidir cuál es el mejor en su caso concreto, las tablas
siguientes comparan cada una de estas ofertas.
DE CONTROL DE CAMBIOS
CONTROL DE CAMBIOS
EN LA CONFIGURACIÓN:
Es la actividad de Gestión de Configuración más importante y su objetivo es proporcionar un mecanismo riguroso para controlar los cambios, partiendo de la base de que los cambios se van a producir. Normalmente combina procedimientos humanos y el uso de herramientas automáticas.
Es la actividad de Gestión de Configuración más importante y su objetivo es proporcionar un mecanismo riguroso para controlar los cambios, partiendo de la base de que los cambios se van a producir. Normalmente combina procedimientos humanos y el uso de herramientas automáticas.
DE ALMACENAMIENTO
Todo equipo informático dispone de un sistema de
almacenamiento para guardar los datos. En un altísimo porcentaje, el sistema de
almacenamiento está constituido por uno o varios discos duros. Estos serán de
mayor o menor sofisticación, pero todos constituyen en sí mismos un elemento
dedicado que necesitan unas condiciones mínimas de trabajo.
Hacer trabajar a los discos duros en condiciones extremas puede producir una avería física que como consecuencia podría hacer imposible acceder a la información que contiene. Por tanto, aunque los 3 elementos principales a proteger son el software ,el hardware y los datos, este último, es el principal elemento de los 3 ya que es el más amenazado y seguramente, el más difícil de recuperar.
Contra cualquiera de los 3 elementos se pueden realizar multitud de ataques o dicho de otra forma, están expuestos a diferentes amenazas. Generalmente, la taxonomía más elemental de estas amenazas las divide en 4 grandes grupos: Interrupción, Interceptación, Modificación y Fabricación.
Hacer trabajar a los discos duros en condiciones extremas puede producir una avería física que como consecuencia podría hacer imposible acceder a la información que contiene. Por tanto, aunque los 3 elementos principales a proteger son el software ,el hardware y los datos, este último, es el principal elemento de los 3 ya que es el más amenazado y seguramente, el más difícil de recuperar.
Contra cualquiera de los 3 elementos se pueden realizar multitud de ataques o dicho de otra forma, están expuestos a diferentes amenazas. Generalmente, la taxonomía más elemental de estas amenazas las divide en 4 grandes grupos: Interrupción, Interceptación, Modificación y Fabricación.
- Una ataque se identifica como interrupción, si se hace con
un objeto de sistema, se pierda, quede inutilizable, o no disponible.
- Se tratara de una interceptación si un elemento no
autorizado consigue un acceso a un determinado objeto del sistema.
- Una modificación si además de conseguir el acceso, consigue
modificar el objeto, algunos autores consideran un caso especial de la
modificación la destrucción, entendiéndola como una modificación que
inutilizable el objeto.
- Por último se dice que un ataque es una fabricación si se
trata de una modificación destinada a conseguir un objeto similar al
atacado de forma que sea difícil distinguir entre el original y el
fabricado.
El almacenamiento de la información requiere una serie de principios y características que mejorar: - Rendimiento.
- Disponibilidad.
- Accesibilidad
DE RESPALDO
Respaldar la
información significa copiar el contenido lógico de nuestro sistema informático
a un medio que cumpla con una serie de exigencias:
1. Ser confiable: Minimizar las probabilidades de error. Muchos medios magnéticos como
las cintas de respaldo, los disquetes, o discos duros tienen probabilidades de error o son
particularmente sensibles a campos magnéticos, elementos todos que atentan
contra la información que hemos respaldado allí.
Otras veces la falta de confiabilidad se genera al rehusar los medios magnéticos. Las cintas en particular tienen una vida útil concreta. Es común que se subestime este factor y se reutilicen mas allá de su vida útil, con resultados nefastos, particularmente porque vamos a descubrir su falta de confiabilidad en el peor momento: cuando necesitamos RECUPERAR la información.
Otras veces la falta de confiabilidad se genera al rehusar los medios magnéticos. Las cintas en particular tienen una vida útil concreta. Es común que se subestime este factor y se reutilicen mas allá de su vida útil, con resultados nefastos, particularmente porque vamos a descubrir su falta de confiabilidad en el peor momento: cuando necesitamos RECUPERAR la información.
2. Estar fuera de línea, en un lugar seguro: Tan pronto se realiza el
respaldo de información, el soporte que almacena este respaldo debe ser
desconectado de la computadora y almacenado en un lugar seguro tanto desde el
punto de vista de sus requerimientos técnicos como humedad, temperatura, campos magnéticos, como de su seguridad física y lógica. No es de gran utilidad respaldar la información y dejar el respaldo
conectado a la computadora donde
potencialmente puede haber un ataque de cualquier índole que lo afecte.
3. La forma de recuperación sea rápida y eficiente: Es necesario probar la confiabilidad del sistema de respaldo no sólo para respaldar sino que también para recuperar. Hay sistemas de respaldo que aparentemente no tienen ninguna falla al generar el respaldo de la información pero que fallan completamente al recuperar estos datos al sistema informático. Esto depende de la efectividad y calidad del sistema que realiza el respaldo y la recuperación.
potencialmente puede haber un ataque de cualquier índole que lo afecte.
3. La forma de recuperación sea rápida y eficiente: Es necesario probar la confiabilidad del sistema de respaldo no sólo para respaldar sino que también para recuperar. Hay sistemas de respaldo que aparentemente no tienen ninguna falla al generar el respaldo de la información pero que fallan completamente al recuperar estos datos al sistema informático. Esto depende de la efectividad y calidad del sistema que realiza el respaldo y la recuperación.
Esto nos lleva a
que un sistema de respaldo y recuperación de información tiene que ser probado
y eficiente.
