Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
[DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 1 INFORME FINAL SEGURIDAD EN REDES ELABORADO POR: ING.GILBERT JAIR SANCHEZ AVILA TUTORA: ING-ESP. ELEONORA PALTA VELASCO UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA MAYO 2015 [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 2 CONTENIDO 1. INTRODUCCIÓN 2. OBJETIVOS 3. PLANTEAMIENTO DEL PROBLEMA 4. COMO DESARROLLAR UNA POLITICA DE SEGURIDAD 5. ALCANCES DE LAS POLITICAS 6. Marco legal 7. vigencia 8. DEFINICIÓN DE LAS POLITICAS DE SEGURIDAD 9. REGULACIÓN 10. POLITICAS PARA LA SEGURIDAD DE LA INFORMACION (PSI) 11. POLITICAS SOBRE LA SEGURIDAD DE LOS RECURSOS HUMANOS 12. POLITICAS DE SEGURIDAD DE LAS OPERACIONES 13. POLITICAS DE CONTROL DE ACCESO 14. POLITICAS DE SEGURIDAD DE LAS COMUNICACIONES 15. POLITICAS PARA EL MANEJO DEL SOFTWARE 16. POLITICA PARA EL MANEJO DE INSTALACIONES ELECTRICAS 17. POLITICA ORDENADORES PORTATILES Y TELETRABAJO 18. ANALISIS DE LAS VULNERABILIDADES, AMENAZAS Y RIESGOS PRESENTADOS EN EL VIDEO 19. ASPECTOS TECNICOS PARA SOLUCIONAR LO PRESENTADO EN EL VIDEO 20. ELABORACIÓN DE UN PLAN DE SENSIBILIZACIÓN, DIFUSIÓN Y CAPACITACIÓN EN POLÍTICAS DE SEGURIDAD INFORMÁTICA A LOS EMPLEADOS DE LA COMPAÑÍA 21. CONCLUSIONES 22. REFERENCIAS [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 3 1. INTRODUCCION El presente documento es una propuesta para la empresa “SEGURIDAD INFORMATICA SEGURA”. sobre la políticas de seguridad, normativas y procedimientos de la seguridad informática ya que aunque tiene la implementación de la norma ISO NTC 27001, aplicados a los procesos de mayor relevancia pero con políticas de seguridad informática, que no están debidamente documentadas, aprobadas y difundidas en la compañía, lo que está ocasionando en los usuarios del sistema informático desconocimiento sobre los cuidados de seguridad informática que se deben tener y que debido a sus vulnerabilidades, ha estado en constante riesgo y en amenaza lo que está permitiendo la afectación del cliente final y el correr del negocio. Por lo cual se hace necesario garantizar la disponibilidad del servicio y la confidencialidad e integridad de la información. También se hace necesario conocer las amenazas, vulnerabilidades y riesgos que actualmente posee la compañía, finalmente se elaborará un plan de sensibilización y difusión de la PSI en la compañía, con el objetivo que todos los usuarios de la misma, tomen conciencia de la importancia de aplicar la PSI en la empresa. Que las Políticas de Seguridad de la Información establecidas para la empresa denominada “SEGURIDAD INFORMATICA SEGURA” se convierten en las reglas y procedimientos que regulan la forma de prevenir, proteger y manejar los riesgos a daños de los recursos y servicios informáticos de la empresa, asimismo, establecen un canal formal de actuación del personal interno y externo, en relación con los recursos y servicios informáticos de esta empresa. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 4 2. OBJETIVOS 2.1 OBJETIVO GENERAL Definir las Políticas de Seguridad de la Información que serán adoptadas por la empresa denominada “SEGURIDAD INFORMATICA SEGURA”, con el fin de regular la Gestión de la Seguridad de la Información al interior de la misma empresa. 2.2 OBJETIVOS ESPECIFICOS Informar al mayor nivel de detalle a los usuarios, funcionarios y directivos, las normas y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la empresa denominada “SEGURIDAD INFORMATICA SEGURA”. Permitir establecer el alcance de las responsabilidades del nivel directivo, con la participación de los funcionarios en cuanto a la utilización y mantenimiento confidencial e íntegro de la información de la empresa denominada “SEGURIDAD INFORMATICA SEGURA”. Corregir las vulnerabilidades, amenazas y riesgos encontrados en seguridad informática, mediante la aplicación de políticas, normas, procedimientos y controles. Asegurar la funcionalidad y calidad de sus sistemas de información, garantizando la disponibilidad del servicio y la confidencialidad e integridad de la información. Mejorar la seguridad de sus activos de información y sistemas de comunicación, mediante la elaboración de un plan de sensibilización, difusión y capacitación en políticas de seguridad informática a los empleados de la compañía “SEGURIDAD INFORMATICA SEGURA [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 5 3. PLANTEAMIENTO DEL PROBLEMA La empresa denominada “SEGURIDAD INFORMATICA SEGURA” cuenta actualmente con una infraestructura de red compleja y con diferentes medios de comunicación, para el manejo de aplicaciones del sistema operacional, comercial y financiero, para lo cual tiene implementado un “SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION”, que son unos apartes de la norma ISO NTC 27001 aplicados a los procesos de mayor relevancia; pero con políticas de seguridad informática, que no están debidamente documentadas, aprobadas y difundidas en la compañía; los usuarios del sistema informático pueden desconocer los cuidados de seguridad informática que se deben tener y por ingenuidad realizan acciones inseguras, como por ejemplo utilizar una sola clave para todo, instalar software pirata, etc; situando los activos de información en riesgo para la compañía, con los posibles daños económicos que pueden afectar el normal desarrollo de sus actividades. La compañía “SEGURIDAD INFORMATICA SEGURA” cuenta en el momento con una infraestructura de 25 servidores, para cada una de las Bases de Datos y las aplicaciones que manejan las diferentes áreas de la compañía, 331 equipos de cómputo de escritorio y 41 equipos portátiles, utilizando medios de comunicación como: fibra óptica, cable UTP, radioenlace por microondas y por red telefónica, entre sedes ubicadas en diferentes partes del departamento. Teniendo en cuenta que la compañía ha tenido un crecimiento continuó durante los últimos años, es posible que tenga problemas para determinar quién decide qué cosas, quién es responsable de determinados activos de la información, quién debe autorizar el acceso a los sistemas de información, etc. La preocupación interna de la compañía en proteger la información, esto cobra cada vez más fuerza debido al creciente desarrollo tecnológico en las actividades de negocio, aplicación de regulaciones vigentes y fallas electrónicas; dadas las cambiantes condiciones y las nuevas plataformas de sistematización disponibles que posibilitan interconectarse a través de redes, abriendo nuevos horizontes para permitir explorar más allá de las fronteras de la compañía. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas de información. Por ello se hace más necesario proteger la información relevante de las compañías; bajo la óptica de integrar los sistemas de información y utilizar lenguajes cercanos al negocio de las organizaciones, para lo cual debe estar sincronizado, armonizado y con un plan de seguridad entre los procesos deuna compañía con el fin de brindar confianza frente al negocio. La seguridad informática, es la aceptación clara de cada uno de los usuarios del sistema informático de la compañía, en conocer las PSI, herramienta que permite adoptar una cultura de seguridad informática, orientado a proteger el activo informático y estratégico de la compañía, los cuales deben estar alineados con los objetivos del negocio y los criterios de seguridad considerados por El InformationTechnologyEvaluationCriteria (ITSEC)” La compañía “SEGURIDAD INFORMATICA SEGURA” presenta todos los problemas que podemos observar en el siguiente link: https://www.youtube.com/watch?v=pm-UUZdNDIY https://www.youtube.com/watch?v=pm-UUZdNDIY [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 6 NUESTRO EQUIPO HA SIDO CONTRATADO PARA: Diseñar una propuesta de PSI (Políticas de Seguridad Informática) normativas y procedimientos de buenas prácticas, que permitan salvaguardar los activos de información de la empresa Analizar las vulnerabilidades, amenazas y riesgos presentados en el video. Elaborar un plan de sensibilización, difusión y capacitación en políticas de seguridad informática a los empleados de la compañía. Que permita: Corregir las vulnerabilidades, amenazas y riesgos encontrados en seguridad informática. Asegurar la funcionalidad y calidad de sus sistemas de información. Mejorar la seguridad de sus activos de información y sistemas de comunicación 4. COMO DESARROLLAR UNA POLITICA DE SEGURIDAD Las políticas de seguridad son el conjunto de lineamientos que una organización debe seguir para asegurar la confiabilidad de sus sistemas, para poderla implementar tenemos que tener en cuenta un marco jurídico que respalde nuestras acciones y medidas técnico administrativas para que la política sea implementada con éxito. Aquí un resumen de los pasos a tener en cuenta para implantar una política de seguridad informática a) IDENTIFICAR LOS ACTIVOS En este caso son hardware, software, datos, personas y documentación b) IDENTIFICAR LAS AMENAZAS INTERNAS: empleados incontinuos con la empresa o que hacen mal uso de los equipos informáticos. EXTERNAS: por ejemplo ataques de hackers,crackers,virus,troyanos, ataques de negación de servicios,spyware ,pishig , snifing o intercepción de datos en la redes. EVUALE RIESGOS Calcular las posibilidades de que algo malo ocurra, revisar qué consecuencias puede tener esto en el áreamonetaria,privacidad, responsabilidad legal, pérdida de clientes o que se afecte la imagen de la empresa y costos relacionados con la soluciones de seguridad a implantar. Se puede desarrollar un plan de acción estudiando los escenarios por ejemplo “que pasaría si……”y las alternativas de solución ante ese escenario, para ese caso crear un plan B de soluciones diferentes en caso de que nuestro plan de contingencia no funcione. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 7 c) ASIGNAR RESPONSABILIDADES Seleccionar un equipo que ayude a identificar amenazas potenciales en la empresa en este caso seriamos nosotros es equipo encargado, tener en cuenta la labor de los responsables de recursos humanos, relaciones públicas y administrativos para poder ejercer la política. d) ESTABLEZCA POLITICAS DE SEGURIDAD Se establece en base a los manuales normas y procedimientos, reglamentos, documentos de los empleados, organigrama de la empresa relacionándolas con las plataformas tecnológicas y de software que hay en la organización, se debe comunicar ala organización la puesta en marcha de este plan y estar monitoreando estas directrices para que se vayan ir modificando conforme a la evolución de la empresa.También hay planear las comunicaciones y las compras de los equipos tecnológicos que nos puede ayudan a la ejecución de la política. Se debe realizar un plan de acción para los siguientes casos: perdida de la información, respaldo del hardware, suministros de energía de reserva, proveedores de servicios y socios comerciales, recursos de TI, aprobación de fondos, aplicaciones de seguridad a usar e) IMPLEMENTELA En este caso sería reconocer quien es el propietario de los sistemas, nombrar una persona encargada de la seguridad estableciendo quien es el responsable de la seguridad, hacer un procedimiento que garantice el cumplimiento de las normas y las sanciones en caso de que esta se incumpla. Tener en cuenta que a cada departamento se le hayan asignado los recursos económicos para poder llevarla a cabo 5. ALCANCES DE LAS POLITICAS Este manual de políticas de seguridad es elaborado de acuerdo a las necesidades de la empresa SEGURIDAD INFORMATICA SEGURA, con el fin de solventar las necesidades de seguridad riesgos y vulnerabilidades que se han venido presentando por la preocupación interna por proteger la información debido al crecimiento tecnológico en las actividades del negocio, aplicación de regulaciones vigentes, ya que los usuarios desconocen los cuidados de seguridad informática con los que deben de contar la empresa para asegurar el buen funcionamiento y calidad del servicio. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 8 6. MARCO LEGAL LEY 527 de Agosto 18 de 1999, Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. Ley 1273 de Enero 5 de 2009, Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado- denominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. 7. VIGENCIA Este plan de políticas de seguridad informática entrara en vigencia en el memento que se aprobado como documento técnico y legal pro la más alta dirección de la compañía SEGURIDAD INFORMTICA SEGURA. Este plan deberá ser revisado y actualizado conforme a las necedades de la compañía o en el momento que se necesite realizar cambios sustanciales en la infraestructura de los sistemas informáticos de la compañía. 8. DEFINICIÓN DE LAS POLITICAS DE SEGURIDAD La seguridad de la empresa ha venido siendo afectada por las cambiantes condiciones y nuevas plataformas tecnológica disponibles, la posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresa para mejorar su productividad y poder explorar más allá de las fronteras, lo cual lógicamente ha traído consigo la aparición de nuevas amenazas para los sistemas de información de la empresa que no ha implementado directivas para decidir qué hacer, no hay responsables de activos de la información, no hay quien autorice el acceso a los sistemas de información. Estos riesgos que se enfrenta la empresa han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de estas herramientas tecnológicas y recomendaciones para obtener el mayor provecho y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa SEGURIDAD INFORMATICA SEGURA [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 9 9. REGULACIÓN Las políticas contenidas en este documento deberán ser conocidas, aceptadas y cumplidas portodos los funcionarios y contratistas de la compañía “SEGURIDAD INFORMATICA SEGURA”. El incumplimiento de las mismas se considerará un incidente de seguridad que de acuerdo con el caso podrá dar lugar a un proceso de investigación para los funcionarios y se convertirá en una causa válida de terminación del contrato con los contratistas. Cada usuario será responsable por todas las actividades realizadas con los activos informáticos que están a su cargo y custodia, o desde las cuentas asignadas para su acceso a los servicios informáticos de la compañía “SEGURIDAD INFORMATICA SEGURA”. Actos no autorizados en el uso de los activos informáticos de la empresa “SEGURIDAD INFORMATICA SEGURA”: 1. El intento o violación de los controles de seguridad establecidos para la protección de los activos informáticos de la empresa “SEGURIDAD INFORMATICA SEGURA”. 2. Realizar cualquier actividad que pudiera comprometer la seguridad de cualquier activo informático de la empresa “SEGURIDAD INFORMATICA SEGURA”. 3. El uso sin autorización de los activos informáticos de la empresa “SEGURIDAD INFORMATICA SEGURA”. 4. El uso no autorizado o impropio de la conexión al Sistema. 5. Intentar evadir o violar la seguridad o autenticación de usuario de cualquier host, red o cuenta. 6. El uso indebido de las contraseñas, firmas digitales o dispositivos de autenticación. 7. El acceso a servicios informáticos utilizando cuentas o medios de autenticación de otros usuarios. Aún con la autorización expresa del usuario propietario de la misma. 8. El uso, distribución y ejecución de software o código malicioso que cause daño, hostigamiento, molestias a personas, daño o alteración de información o traumatismos en la continuidad de los servicios informáticos o vulnere la seguridad de los sistemas. 9. El hurto, robo, sustracción o uso no autorizado de datos, información, materiales, equipos y otros elementos pertenecientes a los activos informáticos de la empresa “SEGURIDAD INFORMATICA SEGURA”. 10. El retiro sin autorización previa de cualquier activo informático, de las instalaciones de la empresa “SEGURIDAD INFORMATICA SEGURA”, o áreas bajo su administración o control. 11. El acceso, modificación o alteración no autorizada de componentes, datos o información de los activos informáticos de la empresa “SEGURIDAD INFORMATICA SEGURA”. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 10 12. El uso de medios electrónicos, medios de almacenamiento, software, hardware,datos o información en medios digitales provenientes de fuentes no certificadas de terceros, sin la previa revisión y autorización del Administrador del Sistema. 13. El uso con fines no autorizados o ilegales del Servicio de Internet. 14. La transmisión, difusión o almacenamiento de cualquier material digital o impresoen violación de cualquier ley o regulación aplicable. Esto incluye, sin limitaciónalguna, todo material protegido por los derechos de autor, marcas, secretoscomerciales u otros derechos de propiedad intelectual usados sin la debidaautorización, y todo material obsceno o pornográfico, difamatorio. 15. La realización por Internet, o a través de los activos informáticos, de cualquieractividad que pudiera potencialmente traer desprestigio a la empresa “SEGURIDAD INFORMATICA SEGURA”. 16. Los mensajes contenidos en los correos electrónicos que sean contrarios a lasdisposiciones del orden Público, la moral, las buenas costumbres nacionales einternacionales y a los usos y costumbres aplicables en Internet, así mismo,que sean contrarios al respeto por los derechos de las personas. 17. El almacenamiento y reproducción de aplicaciones, programas o archivos deaudio o vídeo que no están relacionados con las actividades propias de lasfunciones que cumple la dependencia o el usuario. 18. Cualquier violación o sospecha de violación de las medidas o controles de seguridad de los sistemas de información, o de las políticas de seguridad Informática de la empresa “SEGURIDAD INFORMATICA SEGURA”, debe ser reportada inmediatamente por quien conozca de ellas al Administrador del Sistema, para los fines pertinentes. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 11 10. POLITICAS PARA LA SEGURIDAD DE LA INFORMACION (PSI) 1. La Dirección debe aprobar y publicar un documento de la política de seguridad de la información y comunicar la política a todos los empleados y las partes externas relevantes. Por lo tanto se debe comprometer a dar cumplimiento en la redacción del documento sobre la política de seguridad de información para la compañía “SEGURIDAD INFORMATICA SEGURA”. 2. En el documento de la política de seguridad de la información se plasma el compromiso manifiesto de las máximas autoridades de la empresa y de los jefes de área para la difusión, consolidación y cumplimiento de los principios de seguridad que rigen para la compañía “SEGURIDAD INFORMATICA SEGURA”. 3. En el documento de la política de seguridad de la información se establece la conformación de un comité de seguridad de la información, conformado por miembros de distintos sectores de la compañía “SEGURIDAD INFORMATICA SEGURA”. 4. En el documento de la política de seguridad de la información, se establecen las responsabilidades frente a la seguridad de la información. Mediante estos controles la compañía “SEGURIDAD INFORMATICA SEGURA”,demuestra su interés hacia la seguridad de la información a través del establecimiento de la política en su modelo de implementación, asegura que la política se mantiene relacionada con los requisitos de las partes interesadas y la evaluación del riesgo, establece el compromisoy asignación de responsabilidades para su cumplimiento de la misma y determina cada responsabilidad en los diferentes niveles dentro de la estructura organizacional compañía. De manera está garantizando la aplicación debida de la política de seguridad por parte de sus trabajadores y el buen uso de los recursos tecnológicos. 11. POLITICAS SOBRE LA SEGURIDAD DE LOS RECURSOS HUMANOS 1. Establecer el procedimiento de verificación de antecedentes para los candidatos. 2. El departamento jurídico de la compañía “SEGURIDAD INFORMATICA SEGURA”, debe diseñar un contrato de confidencialidad que debe ser firmado por los funcionarios y los proveedores. 3. Al inicio del contrato laboral, debe dar a conocer el documento de la política de seguridad de la información al empleado, este se debe comprometer a cumplirlo. 4. Realizar campañas y actividades que sensibilicen a sus colaboradores sobre la seguridad de la Información mediante: Inducción y re inducción., charlas al personal, difusión a través de la página web y en todos los medios de comunicación que posee la compañía “SEGURIDAD INFORMATICA SEGURA”. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 12 5. Establecer un proceso disciplinario formal para el manejo de las violaciones de seguridadcontemplado en el documento de la política de seguridad de la información, se establecen sanciones por incumplimiento. 6. Al finalizar un contrato con la compañía “SEGURIDAD INFORMATICA SEGURA”, el área de recursos humanos y administrativa es responsable de verificar que todos los activos de la organización que estén en posesión de empleados, contratistas y terceros sean devueltos. 7. Establecer los procedimientos de retiro de permisos para los usuarios en los sistemas de información. Cuando se presenta un cambio o retiro del cargo se debe diligenciar el formato para este fin. Mediante estas políticasla compañía “SEGURIDAD INFORMATICA SEGURA”, cuenta con procedimientos para la selección de personal que incluye investigación de antecedentes, realiza revisiones de verificación de antecedentes de los candidatos al empleo, contratistas y terceros y en concordancia con las regulaciones, ética y leyes relevantes y deben ser proporcionales a los requerimientos del negocio, clasifica de la información a la cual se va a tener acceso y los riesgos percibidos. Como parte de su obligación contractual, empleados, contratistas y terceros deberían aceptar y firmar los términos y condiciones del contrato de empleo, el cual establecerá sus obligaciones y las obligaciones de la organización para la seguridad de información. Brindar un nivel adecuado de concientización, educación y formación en los procedimientos de seguridad, y el uso correcto de los servicios de procesamiento de información a todos los empleados, contratistas y usuarios de terceras partes para minimizar los posibles riesgos de seguridad. Establecer un proceso formal disciplinario para empleados que produzcan brechas en la seguridad. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 13 12. POLITICAS DE SEGURIDAD DE LAS OPERACIONES 1. En el documento de la política de seguridad de la información, se establecen las responsabilidades frente a la seguridad de la información y el uso de medios. 2. Establecer procedimientos para el aseguramiento de la información. 3. Los usuarios deberán utilizar los mecanismos de con la compañía “SEGURIDAD INFORMATICA SEGURA”, para realizar las copias de seguridad protegiendo la información y garantizando la confidencialidad. 4. Los usuarios deben conocer y aplicar las medidas para la prevención de código malicioso como virus, troyanos y gusanos de red. 5. Para el uso de información compartida, medios USB, FTP, y discos virtuales deberá contar con la autorización de las directivas de con la compañía “SEGURIDAD INFORMATICA SEGURA”. 6. Los usuarios que necesiten realizar instalación de software deben contar con aprobación previa del departamento de seguridad y director del área. 7. Los usuarios que detecten cualquier situación sospechosa como información importante revelada, modificada, alterada o borrada sin la autorización se debe reportar al área correspondiente. 8. Los usuarios de las diferentes áreas de con la compañía “SEGURIDAD INFORMATICA SEGURA”, no deben modificar las configuraciones de los equipos sin autorización previa por parte del área encargada. 9. Sera considerado un ataque a la seguridad informática cualquier actividad realizada por un usuario que realice la exploración de los recursos informáticos de la red de la empresa en busca de una posible vulnerabilidad. 10. Los usuarios deben de contar con un correo institucional previamente asignado para el desarrollo de sus actividades y no deben usar cuentas de correo electrónico asignadas a otras personas, ni recibir mensajes en cuentas diferentes al correo asignado. 11. Los usuarios deben tratar la información enviada por los correos como confidencial y propiedad de la compañía “SEGURIDAD INFORMATICA SEGURA”. 12. Los usuarios podrán enviar información reservada y confidencial vía correo electrónico siempre y cuando vaya encriptado y destinada exclusivamente a personas autorizadas. 13. El usuario debe hacer uso del correo electrónico única y exclusivamente para los recursos que le hayan sido asignados y las facultades que se le hayan sido atribuidas para el desempeño de su empleo o cargo. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 14 14. Para prevenir infecciones por virus los usuarios solo deben hacer uso del software que ha sido proporcionado por la empresa. 15. Los usuarios deben verificar que la información almacenada en los diferentes medios de respaldo y en equipos de trabajo estén libres de código malicioso, ejecutando el antivirus de la organización. 16. Todos los archivos provenientes de fuentes internas o externas deben ser verificados que estén libres de virus utilizando el antivirus autorizado. 17. Cualquier usuario que tenga sospechas de virus deberá dejar de usar inmediatamente el equipo y llamar al área encargada para la eliminación del mismo. 18. Los usuarios no deberán alterar las configuraciones de seguridad establecidas por la empresa. 19. El acceso a internet provisto por la empresa es de uso exclusivo a actividades relacionadas con el puesto y función que desempeña. 20. Todos los accesos a internet tienen que ser realizados atreves de los canales de la empresa. 21. Prohibición al acceso a páginas no autorizadas por ejemplo de contenido violento o pornográfico. Para llevar a cabo el control de los diferentes servicios que presta la compañía “SEGURIDAD INFORMATICA SEGURA”, se hace necesario contar con las siguientes recomendaciones: 22. La administración de los servidores se debe realizar únicamente por personal autorizado por el área de seguridad de la compañía “SEGURIDAD INFORMATICA SEGURA”. 23. Se debe implementar firewall para el control de acceso a los servicios definiendo políticas de seguridad y llevando control sobre los diferentes eventos y posibles ataques. 24. El acceso a la configuración de los servidores se debe realizar únicamente por el usuario administrador 25. El administrador de base de datos es el encargado de asignar los roles para acceso a consultas y reportes. 26. La asignación de contraseñas se realiza por medio del administrador de base de datos y con autorización previa de la dirección. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 15 27. El administrador de base de datos no deberá eliminar información del sistema, se deberá garantizar copias de seguridad. 28. Se prohíbe el acceso y el uso de servicios interactivos o mensajería instantánea como ICO, NetMeeting, Kazaa, Chat, MSN Messenger, Facebook, Twitter, Yahoo, Skype, Net2phone y otros similares, que tengan como objetivo crear comunidades para intercambiar información o bien para fines diferentes a las actividades propias de la compañía “SEGURIDAD INFORMATICA SEGURA”. 29. Se prohíbe la descarga, uso, intercambio y/o instalación de juegos, música, videos, películas, imágenes, protectores y fondos de pantalla, software de libre distribución, información y/o productos que de alguna forma atenten contra la propiedad intelectual de sus autores, o que contengan archivos ejecutables, herramientas de hacking, entre otros. 30. Se prohíbe el acceso a páginas relacionadas con pornografía, nueva era, música, videos, concursos, entre otros Mediante estas políticas la compañía “SEGURIDAD INFORMATICA SEGURA”, puede establecer las condiciones de operación conforme a las necesidades de los procesos requeridos según aplique; controla los cambios que afecten la seguridad de la información, gestiona los recursos tecnológicos de la empresa, evitar daños al software y hardware con controles contra códigos maliciosos., mantiene disponible e integra la información, controla accesos para instalación de software en el sistema operativo. Todos los sistemas de procesamiento de información, infraestructura, desarrollos, aplicaciones, archivos, procesos de desarrollo y mantenimiento de sistemas de información de la compañía “SEGURIDAD INFORMATICA SEGURA”, deben ser controlados y tener una adecuada seguridad, garantizar la protección, control y correcta operación de los sistemas operativos y asegurar que los sistemas de información con los que se interactúacumplen con las normas y políticas de seguridad de la organización. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 16 13. POLITICAS DE CONTROL DE ACCESO El coordinador del área de sistemas proporcionará toda la documentación necesaria y accesoria para la utilización de los sistemas de información de la compañía “SEGURIDAD INFORMATICA SEGURA”,así como los roles y funcionalidades correspondientes para el buen desempeño de sus funciones, también asignará identificador de usuario y contraseñas necesarios para acceder a la información y a la infraestructura tecnológica de la empresa. 1. El acceso a la infraestructura tecnológica de la compañía “SEGURIDAD INFORMATICA SEGURA”, por personal externo debe ser autorizado por el Director de área y notificado a las directivas. 2. Todos los usuarios son responsables de su UserID y Password para uso y acceso a los recursos informáticos. 3. Los usuarios no deben proporcionar información a personal externo, de los mecanismos de control de acceso a las instalaciones tecnológicas de la compañía “SEGURIDAD INFORMATICA SEGURA”. 4. Los usuarios son responsables de todas las tareas realizadas por su identificador (UserID), por lo tanto es prohibido que otros usuarios utilicen sus identificadores de usuario. 5. Cualquier cambio de los roles y responsabilidades de los usuarios deben ser solicitados al área de seguridad de la empresa y con visto bueno del Director del área. 6. Los usuarios deberán de mantener los equipos de cómputo con controles de acceso como contraseñas y protectores de pantalla previamente instalados y autorizados. 7. Se debe hacer solicitud al área de seguridad y directivas, para conexiones externas. 8. En el documento de la política de seguridad de la información, se establecen políticas de acceso a redes y servicios de la misma. 9. Contar con un procedimiento de gestión de identidad y acceso, comprendiendo todas las fases del ciclo de vida que posee un usuario. 10. En el documento de la política de seguridad de la información, se establecen políticas de buenas prácticas de los usuarios. 11. En el documento de la política de seguridad de la información, se establecen políticas de retiro de usuarios.Procedimientos de alta y baja de usuarios en la red, habilitación de usuarios en los sistemas de información y deshabilitación de usuarios. 12. Implementar una técnica de autenticación adecuada que verifique la identidad reclamada por un usuario. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 17 13. Contar con software de gestión de seguridad que bloquea el acceso a programas utilitarios a usuarios no autorizados. 14. Desarrollar e implementar controles criptográficos para la protección de la información. 15. Implementar sistema de gestión de llaves para apoyar el uso de las técnicas criptográficas. 16. La asignación de contraseña se debe realizar de forma individual y no se debe compartir. 17. Cuando un usuario olvide, bloquee o extravié su clave, deberá levantar una solicitud haciendo uso de los formatos de calidad de la compañía “SEGURIDAD INFORMATICA SEGURA”, para que sea generado y luego ser cambiado por el usuario. 18. Se prohíbe dejar las contraseñas visibles o escritas en lugares que pueden ser descubiertas por personal no autorizado. 19. Sin importar las circunstancias las claves no se deben compartir es responsabilidad del usuario mantener confidencialidad. 20. Establecer mecanismo de contraseña segura y actualización de la misma. 21. Se debe establecer un procedimiento seguro para la asignación y construcción de contraseñas. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 18 14. POLITICAS DE SEGURIDAD DE LAS COMUNICACIONES 1. Establecer controles de seguridad para asegurar la información en la red, protegerla de amenazas y garantizar su infraestructura de soporte. 2. Preparar e implantar estándares, directricesy procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS (detección y prevención de intrusiones), gestión de vulnerabilidades. 3. Definir acuerdos de servicio mediante procedimiento de seguridad de los servicios de red. 4. Control de conexión a la redEstablecer los mecanismos de intercambio de información entre dependencias de la empresa, que asegure la confidencialidad, integridad y disponibilidad de los datos. 5. En el documento de la política de seguridad de la información, se establecen políticas de intercambio de información. 6. Mediante herramientas de encriptación proteger la información y sistemas de cifrado contemplando las implicaciones de seguridad asociadas al uso de servicios de comercio electrónico, incluyendo las transacciones en línea y los requisitos para los controles y la integridad y disponibilidad de la información publicada electrónicamente a través de sistemas disponibles al público. 15. POLITICAS PARA EL MANEJO DEL SOFTWARE 1. Todo computador utilizado en la empresa debe tener configura la opción de cierre de sesión después de un lapso (determinado por el departamento de sistemas) de inactividad. evitando acceso indebidos al sistema 2. Se permitirá la instalación de software con licenciamiento apropiado y de acorde a la propiedad intelectual. 3. cada uno de los equipos involucrados deben disponer de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se apliquen). 4. Todo software nuevo antes de ponerlo en uso debe ser probado y evaluado correctamente antes de ponerlo en funcionamiento, también se debe revisar funcionamiento del software e instalación de actualizaciones en caso de que existan. Así se pretende aprovechar al máximo el rendimiento de los equipos y su vida útil. 5. El software desarrollado por la empresa deberá presentar mensajes de error claros que puedan ser interpretados fácilmente por sus usuarios. Para evitar la pérdida de tiempo al solucionar los errores que presente el programa, y que éste sea utilizado de una forma adecuada. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 19 16. POLITICA PARA EL MANEJO DE INSTALACIONES ELECTRICAS 1. El acceso al generador eléctrico deberá ser controlado y restringido solo a personal autorizado. Así se garantizará que este dispositivo no seamanipulado o averiado por terceras personas y pongan en peligro laproducción. 2. La ubicación del generador eléctrico será lo más segura posible, de tal forma que lo proteja de desastres naturales menores y descuidos humanos. De esta manera se dará una óptima protección física, alargandola vida útil del generador y evitando posibles daños. 3. El generador eléctrico deberá ser revisado periódicamente, igual que cualquier otro equipo de hardware. 4. Toda la toma eléctrica y equipos de alimentación auxiliar deben estar protegidos adecuadamente .podemos usar Polo a tierra y UPS para evitar alteraciones en el voltaje y sobrecargas de los equipos informáticos 5. Todo cable o toma eléctrica que no esté en uso debe ser aislada correctamente. De esta forma evitamos posibles cortocircuitos, o demáspeligros relacionados con la energía eléctrica que comprometan lacontinuidad del negocio y la integridad física de los empleados 6. Los generadores de energía, sistemas de aire acondicionado y los equipos de UPS, se deberán revisar y probar frecuentemente,para asegurar la continuidad del servicio en el evento de una pérdida de energía desde la red externa, con el fin de mantener la operatividad y estabilidad de los sistemas. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 20 17. POLITICA ORDENADORES PORTATILES Y TELETRABAJO El uso de los equipos portátiles fuera de las instalaciones de la compañía “SEGURIDAD INFORMATICA SEGURA” únicamente se permitirá a usuarios autorizados por el Comité de Seguridad de la información. Los equipos de cómputo de la compañía “SEGURIDAD INFORMATICA SEGURA” utilizados fuera de la entidad y en funciones propias de la compañía “SEGURIDAD INFORMATICA SEGURA”, deben ser exclusivamente utilizados para brindar apoyo a las actividades de la entidad y deben ser sujetos a un grado equivalente de protección igual al de los equipos que se encuentran dentro de las instalaciones de la compañía “SEGURIDAD INFORMATICA SEGURA”. 1. Para los equipos portátiles se deben aplicar las siguientes pautas: 2. Los equipos portátiles asignados a los funcionarios, contratistas y colaboradores deben atender todas las recomendaciones de seguridad. 3. Durante los viajes, los equipos (y medios) no se deben dejar desatendidos en lugares públicos. Los computadores portátiles se deben llevar como equipaje de mano. 4. Los portátiles son vulnerables al robo, pérdida o acceso no autorizado durante los viajes. Se les debe proporcionar una forma apropiada de protección de acceso y .a la información almacenada en el mismo. 5. Se deben atender las instrucciones del fabricante concernientes a la protección del equipo. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 21 18. ANALISIS DE LAS VULNERABILIDADES, AMENAZAS Y RIESGOS PRESENTADOS EN EL VIDEO Factor de Riesgo Vulnerabilidad Amenaza Perdida de confidencialidad en datos privados y de Sistema ✓ Falta de controles electrónicos, como lectores biométricos. ✓ Falta de niveles de control y acceso. ✓ Restricciones de uso inadecuados. ✓ Credenciales de acceso deficiente y sin seguridad ✓ Robo de información, alteración de información, virus. Sabotaje ✓ Falta de controles de acceso físicos ✓ Falta de controles accesos lógicos. ✓ Falta de controles de seguridad (antivirus, firewall). ✓ Falta de control sobre el nivel de acceso a la información ✓ Vandalismo, perdida de datos, divulgación de información, virus. ✓ Falta de disponibilidad, integridad y accesibilidad en la información. ✓ Hackers Acceso no autorizado a datos (borrado, Modificación, etc.) ✓ Falta de controles de accesos. ✓ Falta de mecanismos de monitorización. ✓ Falta de control de usuarios. ✓ Existencia de puntos de la red sin ningún control de seguridad. ✓ Políticas de seguridad inadecuadas. ✓ Falta de capacitación sobre valores y ética profesional. ✓ Robo, Perdida divulgación, alteración de la información. ✓ Sabotaje, vandalismo, hackers. ✓ Personal interno (descontento, negligencia, deshonestidad, cesados, etc) Falta de confidencialidad ✓ Usencia de control de los sistemas. ✓ Ausencias de sistemas de seguridad. ✓ Políticas inadecuadas. ✓ Robo, alteración y divulgación de la información. Mala administración de control de acceso. ✓ Ausencia de administración. ✓ Personal o capacitado. ✓ Suplantación de identidad. ✓ Autorización elevada de privilegios. ✓ Robo, alteración y divulgación de la información Falla del sistema ✓ Ausencia de mecanismos ✓ Corte en la prestación [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 22 de control y monitoreo. ✓ Falta de mayor cantidad de personal especializado del servicio. Software desactualizado ✓ Ausencia de mecanismos de monitoreo. ✓ Ausencia de mecanismos para despliegue de actualizaciones y parches. ✓ Softwares sin soporte. ✓ Virus, gusanos y troyanos Robo, fraude ✓ Información privilegiada expuesta ✓ Información privilegiada conocida por terceros. Spoofing y Sniffing ✓ Información privilegiada expuesta ✓ Perdida de integridad en los datos Medios de datos no están disponibles cuando son Necesarios ✓ Falta de monitoreo adecuado ✓ Falta de Tuning de las base de datos y aplicaciones ✓ Fallas de software, hardware y o red de datos, ataques de DDOS 19. ASPECTOS TECNICOS PARA SOLUCIONAR LO PRESENTADO EN EL VIDEO 19.1HERRAMIENTAS DE PROTECCION Como medidas y herramientas de seguridad para solventar las posibles infecciones de virus informáticos se deberían de implementar las siguientes: a. Antivirus: que permitirá la detección, bloqueo y eliminación de virus que puedan afectar los datos como el sistema del equipo, nos permite tener un control sobre los dispositivos de almacenamiento, las vías de comunicación de internet, correo electrónico y páginas web. Recomendaciones: • Se debe programar la actualización del antivirus. • Verificar los correos antes de abrirlo, sobre todo los que contengan archivos adjuntos y de fuentes sospechosas • Evitar descargas de programas y archivos de páginas web no seguras. b. Anti espías: Es una herramienta que detectan, bloquean e impiden la ejecución de los mismos que son destinados a espiar las actividades realizadas en nuestros computadores con el fin de robar información. Recomendaciones: • Programar la actualización de la herramienta • Verificar procedencia de ficheros adjuntos al correo [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 23 • No descargar ficheros de fuentes desconocidas c. Firewall: son herramientas personales que se encargan de controlar las conexiones entrantes y salientes del computador, realizando filtros de información según la configuración que realicemos y que vallan acordes a nuestras necesidades. Recomendaciones: • Instalar cortafuegos y mantenerlo actualizado. • Identificar las aplicaciones confiables y usuarios autorizados • Se debe complementar con un antivirus ya que este no brinda soluciones contra virus y software espía. • Revisión de los mensajes y actividad del firewall. d. Control parental: Es una herramienta que permite bloquear, restringir o filtrar el acceso a determinada información de internet, estableciendo límites de tiempo de uso del equipo, evita el uso de juegos, bloqueo de páginas y limita el uso de aplicaciones del sistema. Recomendaciones: • Se deben configurar la herramienta y el sistema de tal forma que no pueda ser desactivada por cualquier usuario. e. Protección web: Son herramientas encargadas de proteger al sistema y al usuario de páginas falsas, código malicioso e ingeniería social. Recomendaciones: • Mantener actualizado el sistema del computador • Mantener actualizados los motores de navegación • Utilizar esta herramienta combinada con antivirus y anti espías • No visitar páginas web no seguras [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 24 19.2 MÁSRECOMENDACIONES TECNICAS Routers: Incorporar listas de control de acceso (ACL’s), lo cual es una medida deseguridad económica, ya que se las puede realizar sobre los dispositivos que la Empresa posee. Para esto podemos ver el manual de usuario de cada router y revisar que más parámetrostienen este en cuanto a seguridad. Switches: Crear VLAN’s ya que cada empresa se divide por departamentos y a cada departamento o dependencia le podemos asignar una subred dependiendo el número de equipo que necesiten internet o servicios informáticos, facilitando la administración de la red. Uso de Sesiones: conveniente que para incrementar la seguridad de la empresa, todos los computadores de usuario deberían cerrar su sesión después de un tiempo máximode inactividad (de 3 a 5 minutos). Cuentas de Usuario: Consideramos que no todos los usuarios de la empresa deben manejar la cuentade administrador de sus computadores, sus privilegios de cuenta deberán ser restringidas por el departamento de sistemas dependiendo de las actividades que desempeñe, este mecanismo de seguridad ayudara a que el personal no acceda ainformación y a aplicaciones no autorizadas. Uso de Contraseñas: Crear un procedimiento que normalice y administre el uso de contraseñas, e informe a los empleados sobre la importancia de seguir esta normalización, para evitar el acceso de personal no autorizado a servicios y equipos restringidos. Usando por ejemplo combinaciones alfanuméricas y caracteres especiales, con esto se dificulta que un potencial atacante la adivine. Usar técnicas de cifrado para proteger la información contenidas en bases de datos distribuidas o con acceso a internet, ejemplo servidores de bases de datos que están en la DMZ (sección de red que está en un punto medio entre la red internet y la red de intranet interna de la empresa).podemos usar también redes privadas o VPN para acceder a la red empresarial de forma confiable aun si el usuario no está en la oficina con su equipo sino en el hogar , utilizando protocolos como el IPSEC para implantar una red más segura en nuestra organización. La gestión así como la entrega de las contraseñas a los usuarios deberá seguir el "Procedimiento de Gestión de contraseñas". Establecido Los usuarios deberán seguir las siguientes políticas para el uso y selección de las contraseñas de acceso y por lo tanto se responsabilizan de cualquier acción que se realice utilizando el nombre y contraseña de usuario que le sean asignados. (ISO/lEC 27001 CL.A.11.3.1): ✓ Las contraseñas son de uso personal y por ningún motivo se deberán prestar a otros usuarios. ✓ Cuando el administrador del servicio del correo asigne la contraseña, el usuario la utilizará solo en el primer inicio de sesión. En los subsiguientes es obligatorio realizar el cambio de contraseña para garantizar que solo el usuario la conoce. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 25 ✓ La contraseña de cada perfil de usuario deberá cambiarse al menos una vez cada trimestre ✓ Las contraseñas no deberán ser reveladas por vía telefónica, correo electrónico o por ningún otro medio, con las excepciones pertinentes. ✓ Se deberá reportar cualquier sospecha, cuando se evidencie que otra persona esté utilizando su contraseña o usuario no asignado. ✓ Toda contraseña debe tener por lo menos un (1) carácter alfabético en may1Jscula, uno en minúscula y un carácter numérico. Adicionalmente se deben usar caracteres especiales como: (#$&-_ ... *). ✓ Las cuentas de los usuarios que hagan más de 3 intentos fallidos de acceso quedarán deshabilitadas y los usuarios deberán solicitar su desbloqueo. ✓ Las contraseñas no se deberán escribir en ningún medio, excepto cuando son entregadas en custodia de acuerdo al "Procedimiento de Gestión de contraseñas" ✓ Si un usuario tiene acceso a varios sistemas de información, se recomienda emplear palabras claves diferentes para cada uno de los sistemas a los cuales tiene acceso. Monitoreo de los usuarios conectados a la base de datos: estableciendo cual su dirección IP, puertos que usan para la conexión a las bases de datos y registrando los movimientos que hacen .para esto nos podemos ayudar revisar los LOGS o registros de auditoría de las aplicaciones, también existen programas que nos ayudan en el monitoreo de la red como WIRESHARK el cual es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica, examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete, además cuenta con interfaz gráfica y filtrada de información. Implementación mecanismos de prevención y protección: a nivel de hardware como de software como: Firewalls, IDS/IPS (sistemas de prevención y detección a intrusos), sistemas AAA, pasarelas antivirus y anti-spam UTM (gestor integrado de amenazas, el cual fusiona dentro de un solo dispositivo o software las características mencionadas), usando técnicas de seguridad perimetral. Auditoria: Estudia los mecanismos para determinar qué es lo que sucede en el sistema a proteger, usando técnicas de control y monitoreo de los recursos del sistema y los elementos que lo conforman, el resultados de las auditorias se deben tener en cuenta para la implantación de políticas de seguridad [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 26 Manejo de bases de datos y aplicaciones web que estén conectadas con el servidor de BD: Todos los datos de la empresa deberán ser respaldados. De esta manera se protegerá la información y en caso dedesastre se pueda continuar con las operaciones de la empresa, para esto podemos usar copias de seguridad o backups, incluso ISO o imágenes para esta labor. ✓ Todos los respaldos o copias de seguridad realizadas debenestar almacenados en un lugar seguro. También deberán ser revisados periódicamente, ósea actualizar las copias de seguridad, Así se pretende mantener la informaciónsegura, integra y disponible para cuando se la necesite ✓ Podemos usar mecanismos de autentificación, contraseñas, de privilegios de usuarios para el acceso .también en las bases de datos podemos usar ordenes como revoque ygrant de SQL para conceder privilegios de acceso y uso de las BD. ✓ Incorporar a la base de datos un proceso que registre todos los accesos y las actividades realizadas. Usando para ellos LOGS de auditoría, cada manejado de base de datos conocido tiene opciones para esto. ✓ Implementar un mecanismo formal que administre y controle la eliminación de información lógica y física. podemos usar mecanismos de vistas para el diseño de la base de datos para que el usuario mire la información que necesita ver y no pueda acceder a la estructura lógica de la base de datos , evitando mal uso de información quela empresa no use. ✓ Cualquier software que requiera ser instalado para trabajos dentro de la empresa deberá ser evaluado por el personal a cargo del departamento de Sistemas, revisando que no tenga defectos o vulnerabilidades como backdoors, rootkits o agujeros de seguridad o defectos en sus códigos fuentes, los cuales sean puerta de acceso a un potencial hacker. ✓ Revisar cuando se hagan las consultas diseño bases de datos no se generen vulnerabilidades como la inyección de SQL. ORACLE DATABASE FIREWALL y GREENSQL que son los de mayor efectividad para corregir esta situación. Validar siempre los datos especificados por el usuario mediante comprobaciones de tipo, longitud, formato e intervalo, controlando los strings o cadena de caracteres como puntos y comas sueltos, instrucciones como droptable o delete. ✓ Revisar el código fuente y estructura de las páginas y aplicaciones web , esto con el fin de evitar ataques como el Cross-site scripting (XSS) en cual se inyecta código fuente tipo java script oVBScript entre otras variables , haciendo posible la manipulación de las páginas web, un programa de libre distribución que sirve para combatir este mal es el VERACODE. ✓ Realizar pruebas y revisar el rendimiento de las aplicaciones web, para esto existen muchas herramientas de pago y de libre distribución como W3AF , websecurify , NESSUS, ACUNETIX , MANTRA, MBSA , RETINA y OPENVAS , estos también nos [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 27 muestra cómo solucionar incidentes de aplicaciones web y que están relacionados con conexiones de bases de datos. Manejo de incidentes de seguridad: Todos los incidentes de seguridad reportados deben ser investigados y se les hará seguimiento por parte de un Comité de Seguridad de la Información. Los resultados de las investigaciones serán informados a la Administración de Sistemas de la compañía. Especificando las causas, consecuencias, responsabilidades, solución y acciones para evitar que se presenten nuevamente. Gestión de la vulnerabilidad técnica: Se realizarán por lo menos dos (2) pruebas de vulnerabilidad por año a los sistemas previamente establecidos de la plataforma tecnológica de la compañía. ✓ Los administradores de las plataformas serán responsables de mantener protegida la infraestructura a su cargo, de los riesgos derivados de las vulnerabilidades técnicas identificadas. ✓ Una vez identificadas las vulnerabilidades técnicas potenciales, se debe identificar los riesgos asociados y los controles de seguridad a ser tenidos en cuenta (esta acción puede implicar la actualización de sistemas vulnerables y/o aplicación de las medidas de acción necesarias). ✓ Si una actualización se encuentra disponible, se deben tratar los riesgos asociadoscon la instalación (los riesgos planteados por la vulnerabilidad deben ser comparadoscon los riesgos de la instalación de la actualización). ✓ Los correctivos que requieran ser aplicados en la plataforma tecnológica, derivados dela identificación de vulnerabilidades, deberán seguir el formato "Control de Cambios aTI". ✓ El Comité de Seguridad de la información realizará el seguimiento y verificación deque se hayan corregido las vulnerabilidades identificadas. ✓ Las claves y mecanismos de acceso a servidores y otros recursos de información asícomo cualquier procedimiento, estrategia y controles establecidos que garanticen la seguridad de la plataforma informática de la Entidad, deberán ser de uso exclusivo yrestringido a los responsables de los mismos. Seguridad en los procesos de desarrollo y soporte: Todo sistema utilizado para el procesamiento de la información de la compañía deberá ser instalado y actualizadosiguiendo el formato "Control de cambios a TI", estableciendo y cumpliendo con losrequerimientos de seguridad definidos para el sistema. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 28 ✓ Los contratos de desarrollo de software con terceros deberán tener claramentedefinidos los alcances de las licencias, los derechos de propiedad del códigodesarrollado y los derechos de propiedad intelectual, junto con los requerimientoscontractuales relacionados con la calidad y seguridad del código desarrollado. ✓ Se debe garantizar que en las fases de desarrollo y/o actualización y prueba desoftware no pondrán en riesgo el software instalado, como tampoco la información, laseguridad y la integridad de la plataforma con la que la entidad cuenta para soportarsus sistemas de información. ✓ Todos los sistemas (sistemas cliente/servidor, redes, computadoras personales,etc.) deberán ser provistos de software licenciado. ✓ Los módulos ejecutables nunca deberán ser trasladados directamente de losambientes de pruebas a los ambientes de producción, sin que previamente seanprobados, revisados y compilados. Las actividades de revisión y compilación deberánser ejecutadas por un nivel técnico no asociado con las pruebas del proceso. ✓ Antes de comenzar a usar un nuevo aplicativo en producción o con cambiossustanciales, deberán documentarse los controles de seguridad a implementar con elfin de ser evaluados por las áreas pertinentes de nuestra compañía “ [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 29 20. ELABORACIÓN DE UN PLAN DE SENSIBILIZACIÓN, DIFUSIÓN Y CAPACITACIÓN EN POLÍTICAS DE SEGURIDAD INFORMÁTICA A LOS EMPLEADOS DE LA COMPAÑÍA La campaña de sensibilización está enmarcada en dar a conocer los riesgos a los que puede estar expuestos los sistemas de información, las redes y las comunicaciones, los usuarios y el activo principal la información, las amenazas que pueden ocurrir por no cumplir el código de buenas prácticas del uso de los recursos tecnológicos; siendo una forma preventiva de la compañía “SEGURIDAD INFORMATICA SEGURA” de salvaguardar sus activos. El plan de sensibilización difusión y capacitación de las políticas de la seguridad informática (PSI), es parte primordial dentro de un modelo de gestión de la seguridad informática y aunque la compañía tiene implementado la ISO 27001, ha fallado en este control. Por lo que se hace necesario que cada uno de los empleados, proveedores, terceros etc., que forman parte de la compañía, en común esfuerzo trabajen para poder dar cumplimiento a la política de seguridad de la misma, teniendo en cuenta que brindara beneficios para la mejor utilización de los recursos informáticos y poder evitar incidentes que puedan causar daños significativos a la compañía. Lo que busca las políticas de seguridad informática (PSI) es establecer lo que se necesita o debe hacerse para tener una seguridad efectiva; explicando los lineamientos y por qué se debe implementar e involucrando a todos los actores de la compañía, para que conozcan la importancia del cumplimiento de la misma. De esta manera se hará conciencia de la importancia de la participación y colaboración de todos los usuarios en conocer los riesgos de los sistemas de información. Con este plan de sensibilización difusión y capacitación, se crea una cultura en cada miembro de la compañía, entendiendo la importancia de dar un tratamiento debido a los recursos informáticos, asegurando la integridad, confidencialidad y disponibilidad del información. A continuación se relaciona las actividades que se ejecutaran en dicho plan. Actividad Propósitos Responsable Recursos La creación del cronograma de difusión y sensibilización Que el usuario este actualizado y concientizado de la aplicación de la PSI. Oficina de Planeación y Oficina de Sistemas Documento Políticas de seguridad informática. Reproducción del documento de PSI Garantizar que todos los usuarios tengan en sus manos el documento y poderlo conocer. Oficina de Planeación y Oficina de Sistemas Financieros Elaboración de cartillas didácticas de PSI Que los usuarios de una manera amena comprendan la PSI Oficina de Planeación, Oficina de Sistemas y Oficina de Publicidad Financieros Cartillas de publicidad Difusión por medio de intranet Entregar mediante correos electrónicos institucionales, videos y Oficina de Planeación y Oficina de Sistemas Tiempo y medios electrónicos [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 30 cartillas didácticas la PSI. Semanalmente se abarca un tema. Capacitación de formación presencial Realizar charlas mensualmente sobre la importancia de aplicar la PSI.Oficina de Planeación, Oficina de Sistemas y Usuarios del Sistema Auditorio Computador Expositor Logística Talleres de formación personal Mediante la aplicación de casos, sensibilizar y concientizar a los usuarios de los riesgos del incumplimiento de PSI Oficina de Planeación, Oficina de Sistemas y Usuarios del Sistema Auditorio Computador Expositor Logística Charlas, conferencias, seminarios y campañas Tener la dirección de la compañía el compromiso y el cumplimiento a la sensibilización y capacitación del personal. Oficina de Planeación, Oficina de Sistemas y Directivos Auditorio Computador Expositor Logística Carteleras en las dependencias Educar de manera didáctica el riesgo de incumplir la PSI Oficina de Planeación, Oficina de Sistemas y Directivos Usuarios Cartelera Documentos de publicidad Dentro de esta agenda, también se debe enfatizar en los delitos informáticos (ley 1273 de 2009) y su legislación, como también de los aspectos legales en cuanto al correo electrónico, firma digital, entre otros. Finalmente, para que la sensibilización y difusión de la PSI sea efectiva y se logre su propósito, se debe utilizar todos los medios electrónicos y físicos posibles de manera didáctica llegar a todos los usuarios para reforzar la PSI y la legislación de los delitos informáticos. Procedimiento: Se motivara a los usuarios a participar activamente en conferencias referentes a la seguridad de la información manteniendo buenas prácticas, implementando contraseñas seguras, copias de seguridad y medios de comunicación que permitan conservar la confidencialidad, disponibilidad e integridad de la información. Se crearan videos informativos para visualizar la importancia de tener políticas de seguridad de la información, presentándolos en las pantallas de los equipos de los usuarios creando conciencia responsable y crítica. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 31 Se enviara información de relevancia a los usuarios a través de correo electrónico para que estén informados sobre el cumplimiento de las políticas de seguridad de la información resaltando sus ventajas y lineamientos. Se deberán crear material didáctico alusivo a la campaña de políticas de seguridad de la información. Las fechasen que se impartirán las capacitaciones serán informadas con anterioridad, por los medios de comunicación establecidos. El material de apoyo (manuales, folletos, guías, etc.) serán entregados al personal minutos antes de iniciar la capacitación. Se deberá lograr una sensibilización cercana con el usuario, por áreas en las cuales se visitaran los diferentes puestos de trabajo, brindando información relevante, logrando interactuar, resolver dudas y hacer aclaraciones para garantizar la adecuada aplicabilidad de las políticas de seguridad de la información. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 32 21. CONCLUSIONES ✓ La política de seguridad informática, es un documento fundamental en la implementación de un programa de sistema de gestión de la información, ya que brinda los lineamientos que los usuarios deben conocer y aplicar en la utilización de los recursos informáticos. ✓ Es compromiso de la compañía “SEGURIDAD INFORMATICA SEGURA”, aprobar y hacer cumplir la PSI y establecer sanciones por su incumplimiento. ✓ Es responsabilidad de cada usuario del sistema tener control y usar debidamente el recurso tecnológico asignado para su trabajo. ✓ Conocer las vulnerabilidades, amenazas y riesgos le ofrece la oportunidad a la compañía de tomar medidas respectivas y darle un tratamiento adecuado a cada riesgo con el fin de no permitir su materialización y mitigarlo para el bien de la compañía. ✓ El plan de sensibilización, difusión y capacitación es una estrategia que debe realizar la compañía para concienciar a sus empleados de la importancia de aplicar la PSI y también de los riesgos que se enfrenta día a día en el mundo tecnológico. [DISEÑO PSI NORMATIVAS Y PROCEDIMIENTOS INFORMATICASEGURA] 24 de mayo de 2015 P O L I T I C A S D E S E G U R I D A D I N F O R M A T I C A S E G U R A Página 33 22. REFERENCIAS M. Benítez, «gestión integral,» [En línea]. Available: http://www.gestionintegral.com.co/wp- content/uploads/2013/05/Pol%C3%ADticas-de-Seguridad-Inform%C3%A1tica-2013-GI.pdf. [Último acceso: 19 05 2015]. E. Mifsud, «Gobierno de españa,» 26 03 2012. [En línea]. Available: http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040- introduccion-a-la-seguridad-informatica?start=4. [Último acceso: 19 05 2015]. O. I. S. Noriega, 09 2012. [En línea]. Available: http://apuntesdeinvestigacion.upbbga.edu.co/wp-content/uploads/ESI-Oscar-Ivan-Saavedra- Noriega.pdf. [Último acceso: 19 05 2015]. Como implementar políticas de seguridad: http://es.slideshare.net/bellaroagui/politicas-deseguridad-13610538 Diseño de políticas de seguridad: http://dspace.ups.edu.ec/bitstream/123456789/573/6/CAPITULO4.pdf NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 2700, disponible en: 1http://www.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NT C-ISO-IEC%2027001.pdf RESUMEN NORMA ISO 27001, disponible en: http://es.slideshare.net/Gladisichau/resumen- norma-iso-27001 http://es.slideshare.net/bellaroagui/politicas-deseguridad-13610538 http://dspace.ups.edu.ec/bitstream/123456789/573/6/CAPITULO4.pdf
Compartir