Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Instituto Politécnico Nacional Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales y Administrativas. Plan Estratégico de Seguridad Informática Nombre: López Hidalgo Alejandro Asael Boleta: 2011600613 Profesor: Álvarez Solís Francisco Javier Materia: Seguridad Informática Secuencia: 4CV70 Introducción La empresa Nombre de la empresa: ProEventos Giro La empresa se llama ProEventos, y se dedica principalmente al servicio y organización de eventos sociales, fiestas privadas o públicas, en lo que se refiere también a la iluminación, audio, video e incluso mobiliario pertinente para todos estos fines. Nuestra empresa ofrece servicios de calidad para la creación y organización de eventos especiales. Contamos con un extenso catálogo de servicios y elementos que harán posible la realización de eventos sociales profesionales. De esta manera la empresa ProEventos busca ser una empresa principalmente rentable y comprometida para lograr la completa satisfacción de los clientes, no solo cubriendo las necesidades básicas requeridas por el cliente, si no que el cliente tenga una experiencia inolvidable haciendo de sus eventos algo memorable. ProEventos es una empresa comprometida, no solo con sus clientes, si no consigo misma ya que siempre va día tras día innovando y actualizando cada uno de sus procesos y servicios que ofrece, de esta manera la empresa puede estar segura que siempre ofrecerá un servicio de calidad y a la vanguardia. Pero teniendo en mente siempre acoplarse a las necesidades y expectativas de los clientes que contraten los servicios Misión Brindar confianza, bienestar y honradez a la sociedad y a nuestros clientes mediante un servicio innovador, que se ajuste a los cambios y necesidades que estas demanden, en un ambiente de respeto y superación continua. Visión Colocarnos como una empresa líder en la producción y coordinación de eventos. Todo esto basándonos en las necesidades y demandas de nuestros clientes enfocándonos siempre en las nuevas tendencias en tecnología y lograr la preferencia de nuestros clientes Dirección General Ejecutivo de ventas Coordinador de eventos Técnico de Iluminación Técnico de Audio y video Diseño y Decoración Maestro de seremonias Supervisor de almacen Depto de Informatica R.H. Gerente Propósitos Nuestro principal propósito dentro del mercado es que nuestra empresa se a reconocida como una de las más capaces y eficientes en el ramo de la organización de eventos. Poner al alcance de nuestros clientes la posibilidad de concretar ese evento ideal que tanto ha planeado, queremos cubrir este objetivo ya que es la llave para acceder a otros mercados y clientes. Colocar nuestros servicios a todos los mercados y bolsillos para que tengan la posibilidad de conocer y vivir la experiencia de tener un evento de las mejores condiciones. Estructura de la empresa (organigrama) Bienes y servicios informáticos La empresa ProEventos cuenta con 5 computadoras conectadas en red, sus especificaciones son las siguientes: 5 ordenadores en torre: Especificaciones: Procesador: Intel Pentium dual core a 2.5 GHz Memoria: RAM ddr3 de 4gb expandible hasta 8gb Monitor: 20" wide led hp tecnología ips con vga y dvi en video digital Disco duro: de 500gb sata 7200 rpm Lector de DVD/CD: quemador de DVD y cd doble capa sata 24x Gabinete: atx Fuente: de 450 watts en potencia 20-24 pines Tarjeta de video: amd de 256 Mb kit de teclado y mouse óptico salida de video vga 6 puertos USB 2.0 internet alámbrico rj45 3 multifuncionales: Especificaciones Funciones: impresión, copia, escaneado Velocidad de impresión : comparable con láser iso: hasta 7 ppm, Borrador: hasta 20 ppm. Velocidad de impresión a color: comparable con laser iso: hasta 4 ppm Borrador: hasta 16 ppm Primera página impresa (lista): negro: velocidad máxima de 17 segundos, color: 24 segundos Ciclo de trabajo (mensual, a4): hasta 1000 paginas Numero de cartuchos de impresión: 2 (1 negro, 1 tricolor [cian, magenta, amarillo]) Tipos de soportes: papel (folletos, inyección de tinta, normal), papel fotográfico, sobres, etiquetas, tarjetas (felicitación) Tipo de escáner: cama plana Formato del archivo de digitalización: jpeg, tiff, pdf, bmp, png Resolución de escaneo, óptica: hasta 1200 PPP Profundidad en bits: 24 bits Resolución de copia (texto y gráficos en color): hasta 600 x 300 PPP Copias, máximo: hasta 9 copias Redes Los ordenadores cuentan con: Tarjeta red: inalámbrica tp-link tl-wn781nd 150mbps wifi Y se encuentran conectadas con un: router Tp-link - Router Rompe Muros Alta Potencia Tl-wr841hp Cuenta con 5 Mbps de velocidad. Contratada con Telmex 1.Mecanismos de seguridad existentes 1.1. Políticas y procedimientos En la empresa ProEventos existen las siguientes políticas y procedimientos en seguridad informática: Políticas existentes Que Para Que Política de backup Esta política pide llevar a cabo copias de seguridad a los empleados en caso de pérdida de información Política de daño de equipo El equipo de cómputo que sufra alguna descompostura por maltrato o descuido por parte del usuario, deberá cubrir la reparación total o parcial. Política de uso de internet El acceso a internet es para uso exclusivo de las actividades relacionadas con el puesto que se desempeña Procedimientos existentes Que Para que Realización de backup Este procedimiento tiene ciertas instrucciones sobre backup Procedimiento en casos de daño físico Son una serie de procedimientos donde se establece que hacer en caso de daños físicos, ya sea por causa humana o por otros accidentes. Solamente indica que se debe reportar. 1.2. Tecnología de seguridad existente Que Para que Sistema de alarma Lloyds Sirve para detectar intrusos dentro de la empresa en lugares u horas inadecuados Panda security Es un antivirus que detecta virus y malware malicioso Firewall de Windows Está diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Router con clave de acceso wep es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite extintor FyreChem a base de Polvo Químico Seco Sirve para poder apagar fuegos o incendios que puedan ocurrir en la empresa. Mini cámara a color para circuito cerrado, con tecnología CCD Diseñadas para vigilancia de espacios físicos solo hay una cámara en la entrada de la empresa IDOne Professional SmartCard Reforzar la seguridad usando smartcards o token USB para acceder a los ordenadores No-breaks Ebro 400 V.a. 6 Contactos 15 Mint. Respaldo Op4 Son dispositivos que cuentan con una batería propia y que puede proporcionar energía eléctrica tras una falla en el suministro eléctrico. Otra de sus funciones es la de mejorar la calidad de la energía que llega a las cargas, filtrando subidas y bajadas de tensión 2.Mecanismos de seguridad a eliminar 2.1. Políticas y procedimientos No hay políticas o procedimientos a eliminar, ya que la empresa cuenta con pocas políticas y procedimientos y en todo caso lo más recomendable es aumentar tanto las políticas y los procedimientos y así incrementar la seguridad informática existente, por lo tanto no se les debe eliminar si no aumentar. 2.2. Tecnologías de seguridad Que Para que Panda security Es un antivirus que detecta virus y malware malicioso. Es bueno pero se puede mejorar si se elimina y se instala otro antivirus para cada una de las computadoras en la empresa. Ya que el nuevo antivirus que se desea instalar ya cuenta con firewall incluido. 3.Mecanismos de seguridad a adecuar 3.1. Políticas y procedimientos Procedimientos como esta como quedaría procedimiento de backup el backupno se encuentra bien especificado por lo que el procedimiento puede resultar erróneo 1.- determinar archivos a respaldar 2.-seleccionar el tipo de medio de respaldo Las memorias flash, también conocidas como memorias USB. Son útiles para respaldar tus archivos más críticos y transferirlos de computadora a computadora. Los discos CD-ROM y DVD- ROM grabables. Los discos duros externos Los sistemas de respaldo en línea almacenan la información en un servidor remoto. 3.-Planear cada cuanto tiempo se debe realizar los respaldos, pueden ser cada semana o realizar de manera automática cada cierto tiempo 4.- realizar el respaldo en la fecha programada Procedimiento en casos de daño físico Este procedimiento solo dice que ante cualquier daño físico, este se debe reportar, nada más. 1.- reporte de fallas en bienes informáticos Reportar a través de un oficio al personal adecuado y debe contar con el nombre de usuario, departamento, fecha y hora de reporte, descripción de falla 2.- atención a la falla El técnico recibe el reporte y acude al área solicitante y revisa el bien informático 3.- reparación del bien físico Se repara el bien informático anotando las actividades realizadas y si la falla debe ser atendida por personal externo, el depto. Solicitará el servicio. 3.2. Tecnologías de seguridad Como esta Como quedaría Firewall de Windows Está diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Firewall de kaspersky internet security Este firewall viene por defecto en el sistema operativo. Y si bien no se eliminara como tal, si se dejara de usar ya que el antivirus que se piensa instalar ya cuenta con un firewall más avanzado y seguro. Router con clave de acceso wep Hoy en día la encriptación wep ya no es segura y es por ello que se recomienda cambiar la configuración a la encriptación wap que es más segura Mini cámara a color para circuito cerrado, con tecnología CCD Diseñadas para vigilancia de espacios físicos solo existe una cámara en la entrada, y se recomienda tener una cámara por depto. Sobre todo en el área de informática. 4.Mecanismos de seguridad nuevos 4.1. Políticas y procedimientos Políticas Que Para que Acuerdos de uso y confidencialidad Todos los usuarios deberán conducirse conforme a los principios de confidencialidad y uso adecuado de los recursos informáticos y de información Sirve para asegurar que el equipo informático se use de manera adecuada y mejorar la productividad El usuario deberá reportar de forma inmediata cuando detecte que existan riesgos para equipos de cómputo o comunicaciones, como pueden ser fugas de agua, conatos de incendio u otros. Sirve para proteger los equipos informáticos Los usuarios no deben mover o reubicar los equipos de cómputo, instalar o desinstalar dispositivos, sin permiso debiéndose solicitar a la misma en caso de requerir este servicio Sirve para protección de equipos de cómputo y probable daño a hardware y software del mismo Controles contra código malicioso evitando cualquier software que no se haya proporcionado por la empresa Para prevenir infecciones por virus informáticos Controles de acceso lógico Todos los usuarios deberán Sirve para que no se introduzcan personas no autorizadas autenticarse por los mecanismos de control de acceso provistos por la Dirección antes de poder usar la infraestructura tecnológica No está permitido llevar computadoras personales ni otros dispositivos de almacenamiento, solo con permiso especial Para que no haya robo de información Los empleados deben ocupar de manera adecuada y solo para fines laborales la red de la empresa Evitar extravió de información o divulgación de la misma Las cuentas de usuario se deberán renovar cada 30 días Esto es para asegurar la confidencialidad en los sistemas de la empresa Cuando el software del sistema lo permita, debe limitarse a 3 el número de consecutivos de intentos infructuosos de introducir la contraseña, luego de lo cual la cuenta involucrada queda suspendida y se alerta al Administrador del sistema Para prevenir ataques externos o incluso internos Los archivos de bitácora (logs) y los registros de auditoría (audit trails) que graban los eventos relevantes sobre la seguridad de los sistemas informáticos y las comunicaciones, deben revisarse periódicamente y guardarse durante un tiempo prudencial de por lo menos tres meses Esto es para poder asegurar que no hay ningún tipo de anomalías dentro de la empresa y también para detectar posibles vulnerabilidades Procedimientos Que Para que Asignación de cuentas de usuario y contraseña Llevar a cabo un procedimiento especificando como y a que personal se le asignara una cuenta de usuario y contraseña Autorización y control en la entrada y salida de tecnologías de información Esto para tener una organización y control de los elementos informáticos que se estén prestando al personal que así lo requiera Gestión de claves de acceso Esto para asegurar prevenir posibles ataques y extravió o robo de información Plan de contingencia contra perdidas de información Un plan de acción que se lleve a cabo cuando se pierda información importante para la empresa. 4.2. Tecnología de seguridad Que Para que nexpose NeXpose es una herramientas diseñada por la empresa Rapid7 para el análisis de vulnerabilidades de redes, identifica y analiza los datos de cada exploración las vulnerabilidades encontradas en Sistemas Operativos, Bases de Datos, aplicaciones y archivos, también detecta todo tipo de programa malicioso. Kaspersky internet security Es una solución avanzada y completa para proteger PC. Además de proteger contra virus y malware, esta suite de seguridad ofrece un excelente motor antivirus, un cortafuegos y funciones anti-phishing. Firewall de seguridad de red Cisco RV220W permite la conectividad de banda ancha, tanto cableada como in Alámbrica, de forma segura y confiable a Internet. PRTG Network Monitor Busca problemas causados por la sobrecarga y/o fallas en los servidores, como también problemas de la infraestructura de red (u otros dispositivos). StaffCop Es un software capas de monitorear la actividad en las computadoras en las cuales está instalado. Symantec Encryption Software que Sirve para cifrar información lo cual protege datos e información confidencial de la empresa Recuva Programa de recuperación de datos del disco duro, unidades USB, tarjetas de memoria y otros dispositivos. Prey (software) Es un servicio web para el rastreo de computadores portátiles y dispositivos móviles El agente instalado en el dispositivo es software libre. Ayuda a la recuperación de los dispositivos rastreando su ubicación a través de la recuperación remota de información. 5.Estrategia de seguridad informática Para llevar a cabo la realización de un plan de seguridad informática es necesario primeramente crear una estrategia, la cual guiara los trabajos realizados para así poder implementar los diferentes correctivos y soluciones frente a los diversos problemas que existen en torno a la seguridad informática. Para ello es importante crear un área de seguridad informática, la cual se encargara de aplicar la estrategia, de organizarla, coordinarla y mantenerla, de tal manera que se logren los objetivos propuestos por la seguridad informática que son: Objetivos primordiales de la seguridad informática La infraestructura computacional: La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contrala infraestructura informática. Los usuarios: Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable. La información: es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios El área de seguridad informática se encarga de cumplir estos objetivos, la cual se muestra a continuación junto con sus respectivas funciones. Enc. Seguridad Informatica Implementaci on Control Desarollo Reglamentaci on Encargado de seguridad informática: Se le conoce comúnmente Oficial de Seguridad informática. Entre sus responsabilidades se encuentran: Administración del presupuesto de seguridad informática Administración del personal Definición de la estrategia de seguridad informática (hacia dónde hay que ir y qué hay que hacer) y objetivos Administración de proyectos Detección de necesidades y vulnerabilidades de seguridad desde el punto de vista del negocio y su solución El líder es quien define, de forma general, la forma de resolver y prevenir problemas de seguridad con el mejor costo beneficio para la empresa. Reglamentación Es el área responsable de la documentación de políticas, procedimientos y estándares de seguridad y regulaciones que apliquen a la organización. Dado que debe interactuar de forma directa con otras áreas de seguridad y garantizar cumplimiento, es conveniente que no quede al mismo nivel que el resto de las áreas pero todas reportan al CISO. Por esta razón se le suele ver como un área que asiste al CISO en las labores de cumplimiento. Implementación Es el área a cargo de llevar a cabo las acciones congruentes con la estrategia definida por el CISO lograr los objetivos del encargado de seguridad informática. Entre sus responsabilidades se encuentran: Implementación, configuración y operación de los controles de seguridad informática (Firewalls, antimalware, etc.) Monitoreo de indicadores de controles de seguridad Soporte a usuarios Alta, baja y modificación de accesos a sistemas y aplicaciones Control Es el área responsable de verificar el correcto funcionamiento de las medidas de seguridad así como del cumplimiento de las normas y leyes correspondientes. Entre sus responsabilidades se encuentran: Evaluaciones de efectividad de controles Evaluaciones de cumplimiento con normas de seguridad Investigación de incidentes de seguridad y cómputo forense (2° nivel de respuesta ante incidentes) Atención de auditores y consultores de seguridad Desarrollo Es el área responsable del diseño, desarrollo y adecuación de controles de seguridad informática. Entre sus responsabilidades se encuentran: Diseño de controles de seguridad (control de acceso, funciones criptográficas, filtros, etc.) Básicamente se trata de un área de desarrollo enfocada a cuestiones de seguridad 6.Plan de trabajo Meses 1 2 3 4 Semanas 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 Responsable Actividad Duraci ón -investigación de la empresa- Todas las áreas Análisis completo de la empresa 1 mes E.S.I. e implementaci ón Inventario de Hardware 3 seman as -Eliminación y adecuación - Implementaci ón Eliminación de tecnologías 1 seman a Reglamentaci ón y control Adecuación de políticas y procedimientos. 3 seman as Implementaci ón Adecuación de tecnologías 2 seman as -Implementación- Reglamentaci ón y control Implementación de políticas 1 seman a Reglamentaci Implementación de 2 ón, control y desarrollo procedimientos seman a Implementaci ón y desarrollo Implementación de tecnologías 1 mes
Compartir