domingo, 9 de febrero de 2014

“POLÍTICAS GENERALES DE SEGURIDAD”


Trabajo semana 2 Curso 457443  del SENA-
Redes y Seguridad

Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo actual crear un manual de procedimientos para su empresa, a través del cual la proteja de todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender la forma en que se hacen los procedimientos del manual.


Preguntas interpretativas

    1.    Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado, otro plan para presentar las PSI a los miembros de la organización en donde se evidencie la interpretación de las recomendaciones para mostrar las políticas.

R/ Las políticas de seguridad informática de la empresa se basan en las buenas prácticas que se le pueden dar a los distintos sistemas informáticos de la misma, y a diferentes mecanismos que existen para evitar posibles daños o catástrofes futuras, que puedan afectar de una u otra manera la integridad y la confidencialidad de los datos o información que esta contenga; por lo que la empresa ha decidido implementar las siguientes políticas de seguridad informática, que serán ejecutadas y llevadas a cabo por cada uno de los empleados que tengan acceso a información privilegiada y que por su manipulación o extravío puedan afectar los procesos que internamente lleva la empresa:

·         Dentro del manual de políticas de seguridad informática de la empresa se evitarán en lo posible los tecnicismos, que de alguna u otra manera puedan dificultar el completo entendimiento de las normas.
·         Dentro del manual se harán ejemplos prácticos, que faciliten la comprensión del mismo evitando confusiones o malos entendidos que puedan afectar la integridad de la misma.
·         Las políticas de seguridad serán generales, cumplidas por cada uno de los empleados, pero se tendrá prioridad por aquellos que de forma directa o indirecta tienen acceso a información privilegiada, por lo que se tendrá más rigurosidad con estos.
·         La protección de la información será el principal objetivo de estas políticas y todos los procedimientos que se lleven a cabo tendrán como fin la seguridad de la misma.
·         Cumplir las normas es deber de todo empleado, no importa su rango en la empresa, las normas los cobijan a todos, por lo tanto deben ser cumplidas en la misma medida.
·         No todos los sistemas tendrán los mismos niveles de seguridad, se le dará más importancia a aquellos sistemas que sean transcendentales para la empresa y que por la pérdida, extravío o alteración de la información que contengan puedan causar costosos e irreparables daños dentro de esta.
·         Los miembros de la empresa mediante el cumplimiento de las políticas de seguridad, estarán en plena facultad para desarrollar el sentido de la responsabilidad frente a la información a que tienen acceso.
·         Será violación de las normas de seguridad cualquier acto que permita que externamente se penetre la red de la empresa, o conlleve a pérdida, alteración o cualquier otra causa que pueda poner en peligro la confidencialidad de los procesos que lleva internamente la empresa.
·         Los miembros de la organización serán capacitados en seguridad informática básica, esto les permitirá tener nociones acerca de cuáles son los riesgos que se pueden correr al descuidar cierta información.

La trascendencia de las PSI en la organización conlleva a la concientización del personal, sobre el alto grado de importancia y sensibilidad de la información y servicios, que le permiten a la empresa un crecimiento positivo y una estabilidad óptima. Por lo tanto es necesario, para implementar estas políticas, elaborar un plan que contenga los siguientes puntos:

·         Llevar a cabo un análisis de los riesgos informáticos, para luego realizar un estimado del tipo y valor que representa tanto la información como los activos de la empresa, para de este modo ajustar las PSI a la naturaleza de la misma.
·         Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.
·         Establecer un esquema de seguridad con la más debida claridad.
·         Inculcar a todo el personal un sentido de pertenencia por todo lo que se encuentra en la organización, asimismo enfatizar en adentrarlos en el proceso de seguridad y a su vez que se vayan familiarizando con cada uno de los mecanismos ejecutados, buscando que se trabaje en total armonía.
·         Destacar que todos y cada uno de las personas que hacen parte de la organización, automáticamente se convierten en interventores del sistema de seguridad, con el debido manejo y manipulación del mismo; estos pueden realizar sus respectivas opiniones y sugerencias, para una posible actualización o modificación a las PSI previamente pactadas.
·         Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
·         Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos de su área.
·         Tener un monitoreo constante sobre las tareas ejecutadas, con el fin principal de verificar posibles fallas y de qué manera pueden formularse alternativas que conlleven al mejoramiento de las PSI.

 2.   Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de presentación a los miembros de la organización, al menos 2 eventos diferentes a los de la teoría, en los que se evidencien los 4 tipos de alteraciones principales de una red.


Tipo de alteración
Recurso afectado
Nombre
Causa
Efecto
Interrupción
Servicio
Word
No ejecuta
No se puede redactar.
Interrupción
Físico
Switch
Fusible quemado
No hay acceso a la red
Intercepción
Físico
Cajero automático
Dispositivo cajero que copia banda magnética
Robar información
Intercepción
Lógico
Base de datos
Software malicioso
Obtener información
Modificación
Servicio
Directorio activo (administración de servidores)
Alguien accede las cuentas administrativas
El personal recibe información incorrecta
Modificación
Físico
Computador
Software malicioso
Acabar con espacio libre del HHD
Producción
Servicio
E-mail
Robo contraseña. Suplantación de identidad
Correos falsos ocasionan mal entendidos
Producción
Lógico
Libro contabilidad
Manipulación de la información
Alterar datos económicos de empresas

  











      








Preguntas argumentativas

     1.    Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un conjunto de elementos que permitan el funcionamiento de esa topología, como routers, servidores, terminales, etc. Genere una tabla como la presentada en la teoría, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle.

R/

Recurso del Sistema
Riesgo (R,)
Importancia (W,)
Riesgo Evaluado (R,*W,)
Número
Nombre
    1
PC’s
    7
        8
          56
    2
Base de Datos
   
    7
       
        7
         
          49
    3
Router
    6
        8
          48
    4
UPS
    4
        7
          28
    5
Servidor
  10
      10
         100











Análisis:

PC’s: El computador es esencial para una organización, es una herramienta de trabajo primordial, le doy un nivel de importancia más allá de la media, puesto que en cada área su presencia data mucho de los procesos ejecutados, y la eficiencia de las tareas; y la Severidad también sobre la media, puesto que llegado el caso, el equipo puede no funcionar y el personal a cargo va a ver estancado su trabajo, mientras se le suministra un equipo de respaldo y éste ingresa a revisión.
BD: Las bases de datos son otro ítem supremamente importante, por lo general son donde las empresas tienen la plataforma de sus aplicativos, en los que se fundamenta su funcionamiento; si por x o y motivo llegase a tener algún error de normalización o ejecución, los procesos se van a ver perjudicados, hay que tener en cuenta que las BD se encuentran en constante alimentación. Por lo anterior, el nivel de severidad también se encuentra un poco alto, su pérdida hace que el sistema colapse y, según los mecanismos de seguridad que se tengan planteados, seguirlos al pie de la letra para verificar los backups almacenados y restaurarlos, para continuar con el andar de la organización.  
Router: Este dispositivo es en el que se mantienen las tablas de enrutamiento y demás de toda la red, almacena la información por así decirlo de la red, el encargado de interconectar los equipos. La severidad es alta, ya que si llegase a fallar, la organización quedaría incomunicada, mientras se tenga un plan de contingencia para solucionar el inconveniente.
UPS: Por citar un ejemplo claro, con este recurso se tiene uno de gran potencia para la empresa, y es el que alimenta a toda la topología de la red y a cada dispositivo y terminal, si llegado el caso falla; si no hubiera fluido eléctrico, no habría cómo encender y trabajar con los equipos; su grado de severidad es altísimo, sin dicho recurso la organización se puede frenar en cualquier momento.
Servidor: Tiene los mayores números de riesgo e importancia, es el eje principal en una organización, donde se encuentran almacenados los aplicativos, información, bd, etc. Al día de hoy resulta una buena inversión tener un servidor espejo y suplir la necesidad ante un inconveniente, por ende este recurso es el de mayor monitoreo y constante cuidado.

    2.    Para generar la vigilancia del plan de acción y del programa de seguridad, es necesario diseñar grupos de usuarios para acceder a determinados recursos de la organización. Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqué de sus privilegios.

R/

Sucursal principal

Recurso del sistema

      Riesgo
Tipo de acceso
Permisos otorgados
Número
Nombre


     1
Servidores
/Administración de privilegios/instalación –Eliminación de Software
Grupo de Ingenieros y soporte de Red

Local y Remoto


Lectura/Escritura

     2
Bases de Datos/Textos y documentación
Personal Operativo
Local
Lectura/Escritura

     3
Verificación de Procesos y procedimientos
Auditoria /jefe de Seguridad
Local
Lectura

     4
Autorización y dominio de recursos corporativos
Personal Administrativo
Local
Lectura


Sucursales metropolitanas

Recurso del sistema
Riesgo
Tipo de acceso
Permisos otorgados
Número
Nombre

       1
Servidores/ instalación –Eliminación de Software
Soporte de Red y Tecnología

Local y Remoto


Lectura/Escritura
      
       2
Bases de Datos/Textos y documentación
Personal Operativo

Local

Lectura/Escritura

       3
Autorización y dominio de recursos corporativos
Personal Administrativo

Local

    Lectura


Sucursales nacionales

Recurso del sistema
Riesgo
Tipo de acceso
Permisos otorgados
Número
Nombre

      1
Servidores/ instalación –Eliminación de Software
Soporte de Red y Tecnología

Local y Remoto


Lectura /Escritura
     
      2
Bases de Datos/Textos y documentación
Personal Operativo

Local

Lectura/Escritura
 
      3
Autorización y dominio de recursos corporativos

Personal Administrativo


Local


      Lectura


Grupo de Ingenieros y soporte de Red

Se les otorga Administración completa de la Red, ya que son el grupo especializado en mantener el óptimo funcionamiento de los recursos físicos de la compañía, así mismo en coordinación con la jefatura de seguridad informática, se supervisa el pleno cumplimiento de los protocolos para el manejo de la red y la información interna como externa de la corporación.

Personal Operativo

Se les otorga lectura y escritura con un nivel más bajo de privilegios ya que manejan bases de Datos y sistemas de consulta como su actualización; esto en registro de datos, como clientes e inventarios de la corporación.

Personal Administrativo

Se les otorga lectura ya que no están a cargo de modificación de Bases de Datos o administración del sistema, delegan funciones y responsabilidades de acuerdo a los procesos y procedimientos establecidos.



Preguntas propositivas

     1.    Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en cuenta las características aprendidas de las PSI, cree el programa de seguridad y el plan de acción que sustentarán el manual de procedimientos que se diseñará luego.

     R/ Programa de Seguridad y Plan de Acción: Se sustentan principalmente en lo siguiente:
     
      ·         Las PSI tendrán una revisión periódica, se recomienda que sea semestral para realizar actualizaciones, modificaciones y ajustes basados en las recomendaciones y sugerencias de todo el personal.
      ·         Todo usuario nuevo debe aceptar las condiciones de confidencialidad, de uso adecuado de los bienes informáticos y de la información.
     ·         Los administradores de centro de operaciones de cómputo, llenarán los formularios específicos para crear las listas de empleados de la empresa con el fin de asignarle los derechos correspondientes, Equipo de Cómputo, Creación de Usuario para la Red (Perfil de usuario en el Directorio Activo).
      ·         Capacitación de seguridad informática, donde se den a conocer las obligaciones para los usuarios y las sanciones en que pueden incurrir en caso de incumplimiento.
       ·         Protección de la información y de los bienes informáticos.
    ·         Mantenimiento de equipos, encargados solo a un personal específico; los usuarios deberán asegurarse de respaldar en copias de respaldo o backups, la información que consideren relevante cuando el equipo sea enviado a reparación, y borrar aquella información sensible que se encuentre en el equipo, previendo así la pérdida involuntaria de información, derivada del proceso de reparación.
      ·         Controles contra virus o software malicioso.
      ·         Planes de Contingencia ante Desastre.
      ·         Prevenir el acceso no autorizado a los equipos de cómputo.
      ·         Detectar actividades no autorizadas
      ·         Realizar seguimiento de los usuarios nuevos y los que se dan de baja en la compañía
      ·         Realizar registro y seguimiento de los eventos en el sistema.

      2.    Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser desarrollados en el manual de procedimientos. Agregue los que considere necesarios, principalmente procedimientos diferentes a los de la teoría

      R/ Manual de Procedimientos

  •      Procedimiento de Cuentas: Se establece principalmente qué es una cuenta de usuario de cómputo, de qué se compone, a qué tipo de usuario le es otorgada, la persona encargada de asignar los roles, la creación de la misma y la comunicación. Nota: Las cuentas son otorgadas a usuarios legítimos y deben estar conformadas por un nombre de usuario y el respectivo password
  •     Procedimiento Control de Acceso: Denota el mecanismo de cómo los usuarios deben acceder al sistema, desde qué lugar y la forma de iniciar sesión
  •    Procedimiento Uso Adecuado: Se especifica lo relativo a un uso adecuado o inadecuado del sistema por parte de los usuarios, asimismo lo que está permitido y prohibido dentro del mismo.
  •    Procedimiento de Respaldos: Detalla cuál es el tipo de información que debe respaldarse, el lapso de tiempo, los medios para respaldar la información, el lugar donde se deben almacenar los backups.
  •      Procedimiento de autorizaciones para instalación de software licenciado o libre: Cualquier software instalado en los sistemas de cómputo de la compañía debe tener una licencia válida, deberá ser almacenado en un lugar central (servidor) y no puede ser copiado o duplicado, excepto si los términos o condiciones de uso de la licencia explícitamente lo permiten. El uso de software libre deberá ser analizado dentro de los procesos definidos y aprobados por el comité de Seguridad.
  •       Procedimiento para proveer programas de capacitación: Continua y efectiva para crear cultura para trabajadores en la compañía y protección de la información. La compañía debe contar con un programa para creación de la cultura en seguridad de la información, a todos los trabajadores, para asegurar que sean continuamente informados acerca de sus responsabilidades y de las posibles amenazas a la seguridad de la información.
  •      Procedimiento de gestión de cambios tecnológicos: Cada adquisición o cambio tecnológico debe asegurar el cumplimiento de la presente Política y sus respectivas normas
  • Procedimiento de escaneo antivirus: La compañía debe contar con un proceso controlado para realizar escaneos de información, semanales o mensuales, para garantizar fiabilidad y destruir posibles troyanos que afecten el sistema.
  • Procedimiento para cancelar la cuenta de usuario en la Red.
  • Procedimiento para uso de PASSWORDS, que utilicen la norma de seguridad.
  • Procedimiento para verificar accesos a la Red.
  • Procedimientos para la determinación de identificación de usuario y grupo de pertenencia por defecto.
  • Procedimiento para el chequeo de gráficos en la Red.
  • Procedimiento para el chequeo de volúmenes de correo.
  • Procedimiento para el monitoreo de conexiones activas.
  • Procedimiento de veeduría externa de las PSI.
  • Procedimiento para modificación de archivos.
  • Procedimiento para la verificación de las máquinas de los usuarios.
  • Procedimiento para el monitoreo de los puertos en la red.
  • Procedimiento para dar a conocer las nuevas normas de seguridad.
  • Procedimiento para recuperar información.
  • Procedimiento para identificación del problema presentado.
  • Procedimiento para la solución del problema presentado.
  • Procedimiento para solicitud, recibo o cambio de dispositivos.
  • Procedimiento para realizar mantenimiento a dispositivos.
  • Procedimiento para la configuración de los dispositivos.
  • Procedimiento de actualización mensual de las políticas, para implementarlas según los cambio o reforzar las ya utilizadas.
  • Procedimiento de publicación de eventos en la agenda de los usuarios para que estos estén enterados de los acontecimientos de la empresa.
  • Procedimiento de asesoría para usuarios de Sistemas de Información.
  • Procedimiento de registro en la Red Administrativa.
  • Procedimiento de mantenimiento preventivo.
  • Procedimiento de mantenimiento correctivo.
  • Procedimiento de Actualización y mantenimiento sitio WEB.

Publicadas por a la/s
Etiquetas:

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)