PLAN DE SEGURIDAD DE INFORMACION

UNIARIES

Grupo de Trabajo

Vanessa Gómez Deossa

Cristian Camilo Sepúlveda

Alexander Javier Henao

Juan Camilo Muñoz

Juan Camilo Restrepo

Marvin Santiago Álvarez

Profesor

Fernando Quintero

Administración de Redes de Computadores

Sena – Regional Antioquia

Centro de Servicios Y Gestión Empresarial

2010

UNIARIES

2 de 37

TABLA DE CONTENIDO

Introducción 3

Objetivos 4

Elaboración, aprobación y revisión plan de seguridad 5

1. Alcance. 6

2. Caracterización del Sistema Informático. 6

3. Resultados del Análisis de Riesgos. 10

4. Políticas de Seguridad Informática. 12

5. Sistema de Seguridad Informática. 24

5.1. Medios humanos. 24

5.2. Medios técnicos. 26

5.3. Medidas y Procedimientos de Seguridad Informática. 27

5.3.1. De protección física. 28

5.3.1.1. A las áreas con tecnologías instaladas. 28

5.3.1.2. A las tecnologías de información. 28

5.3.1.3. A los soportes de información. 28

5.3.2. Técnicas o lógicas. 29

5.3.2.1. Identificación de usuarios. 30

5.3.2.2. Autenticación de usuarios. 31

5.3.2.3. Control de acceso a los activos y recursos. 31

5.3.2.4. Integridad de los ficheros y datos. 32

5.3.2.5. Auditoria y alarmas. 32

5.3.3. De seguridad de operaciones. 32

5.3.4. De recuperación ante contingencias. 34

6. Anexos. 34

6.1. Programa de Seguridad Informática 34

6.2. Listado nominal de usuarios con acceso a redes de alcance global.

35

6.3. Registros. 36

Conclusiones 37

UNIARIES

3 de 37

INTRODUCCION

Este plan de seguridad fue realizado como parte de nuestro proceso de

formación, se presenta como una evidencia de conocimientos adquiridos en el

área de seguridad en la red.

Este trabajo consta de los pasos necesarios para una correcta elaboración de

un plan de seguridad informático donde se llevaran a cabo puntos específicos y

concretos para dicha implementación.

.

UNIARIES

4 de 37

OBJETIVOS

El propósito de este trabajo es aprender a elaborar un plan de seguridad

informático de una entidad, mediante la implementación de controles de

seguridad para la debida interpretación de políticas de seguridad informática.

Mediante este documento queremos mostrar y dar a entender las diferentes

políticas de seguridad que se pueden implementar en una entidad.

UNIARIES

5 de 37

REV ELABORADO REVISADO APROBADO

NOMBRE Grupo Aries Grupo Aries Alonso Cabrales

CARGO Administradores Administradores Presidente

FIRMA

Camilo restretrepo

Cristian Sepúlveda

Camilo muñoz

Alexander Henao

Marvin alvarez

Camilo restretrepo

Cristian Sepúlveda

Camilo muñoz

Alexander Henao

Marvin alvarez

Alonso cabrales

FECHA 12 de Septiembre de 2010

13 de Septiembre de 2010

14 de Septiembre de 2010

UNIARIES

6 de 37

1. Alcance

El alcance del diagnostico actual de UNIARIES comprende el correcto

funcionamiento de la administración del área de TI.

La estructura de toda la organización como lo son la implementación de las políticas para administrar correctamente los riesgos.

Se tendrá que tener en cuenta el mantenimiento de todos los activos informáticos de nuestra entidad UNIARIES.

Seguridad de la información Asegurar correctamente la seguridad la información basándonos en la

seguridad tanto lógica, física y ambiental

Operaciones monitorizadas o controladas Como lo es realizar procedimientos de respaldo, planeado para la

continuidad de nuestra entidad.

Cumplimiento periódico: Como lo son las normas y la privacidad.

Nota: El alcance se ha de definir en todo el entorno de nuestra entidad hasta

llegar a los límites de la auditoría. Este alcance estará figurado en el informe

final y será valorado en este toda nuestra organización

2. Caracterización del sistema informático

UNIARIES es una entidad prestadora de servicios educativos esta cuenta con

dos sucursales una sede está localizada en la ciudad de Medellín y la otra se

encuentra localizada en la ciudad de Bogotá. Los servicios que tenemos en

nuestra organización son básicos y a continuación vamos a dar detalladamente

donde y que dispositivos están en la organización.

En nuestros activos informáticos que tenemos en nuestra entidad son:

4 switch cisco Catalyst 500-24LC

El cual tiene como funcionamiento de estar interconectado continuamente con

el AP, el servidor y el modem ADSL. A demás nos brindara la conectividad

gracias a su conexión con el modem anteriormente mencionado.

UNIARIES

7 de 37

AP cisco Linksys 610n v2

Este es un dispositivo que interconecta dispositivos de comunicación

inalámbrica para formar una red inalámbrica como también redes cableadas

estos dispositivos es de diseño ligero y discreto para el entorno.

Servidor DELL PowerEdge 11G R210

Este servidor nos brindara la disponibilidad de cada uno de los servicios que

aquí estarán alojados.

Este es un servidor de gama alta con una gran capacidad y además un

excelente funcionamiento

Servidor IBM BladeCenter HS22V

Este servidor nos brindara la disponibilidad de cada uno de los servicios que

aquí estarán alojados. Este es un servidor de gama alta con una gran

capacidad y además un excelente funcionamiento

Todo nuestro cableado de los dispositivos según su conexión estará bajo RJ45

categoría 5-e

Bases de datos

En esta será en la que se almacenara toda la información referente a nuestra

empresa y además tendrá unas especificaciones especiales; Independencia

lógica y física de los datos, redundancia mínima, acceso concurrente por parte

de múltiples usuarios, distribución espacial de los datos, integridad de los

datos, consultas complejas optimizadas, seguridad de acceso y auditorías de

respaldo y recuperación además acceso a través de lenguajes de

programación estándar.

Tendremos servicios de red como:

Correo electrónico, WEB, DNS, FTP y DHCP el funcionamiento de esta entidad

sin duda depende del correcto funcionamiento.

Para observar más detalladamente nuestra entidad podemos ver el siguiente

diagrama de UNIARIES

UNIARIES

8 de 37

Como medida de seguridad esta implementado varios mecanismos que serán

utilizados para la protección de nuestra entidad estos son:

Firewall que son conocidos como cortafuegos pueden ser dispositivos físicos o software que cumple funciones de filtrado de paquetes en un computador.

Proxy: Un proxy es un punto intermedio entre un ordenador conectado a Internet y el servidor que está accediendo.

VPN: de una forma segura podemos extender el perímetro de nuestra

red logrando así que los usuarios que se encuentran en sitios remotos

puedan trabajar como si se tratara de usuarios locales.

UNIARIES

9 de 37

Sistema IDS (sistema de detección de intrusos) Este detectara que

posibles intrusos intentan acceder a nuestra red.

UNIARIES

10 de 37

3. Resultados del Análisis de Riesgos.

Sin ninguna duda el activo más importante para una organización es la

información y en nuestro caso es igual la entidad UNIARIES tiene un valor muy

importare en todos los datos alojados en ella por esta razón es porque le

brindamos una atención especial para proteger su confidencialidad, integridad

y disponibilidad.

Otros activos que tenemos muy en cuenta en nuestra compañía son:

Información servidores, switches principales y administradores.

Las amenazas que actúan sobre ellos, para la información de nuestra entidad

es un atacante anónimo externo ajeno a la entidad o interno empleado de la

entidad; y el riesgo de que se materialice es:

por criminalidad político que puede ser por parte de otra persona ajena a

nuestra entidad tiene un riesgo del 3,5

naturaleza por un suceso físico solo es de 1,9.

negligencia institucional que puede ser realizado por personas de nuestra propia organización lo que puede provocar el robo de la información su riesgo es de un 3,8.

Hay que tener en cuenta que el personal es otro activo importante para el

desempeño de nuestra organización por esta razón es una de las más

vulnerables. El riesgo de que sea víctima de una ingeniería social es de un 5,1

quizás es muy alto pero es la verdad las personas es por así decirlo el punto

que puede ser más débil en nuestra organización. A estas personas es muy

poco probable de que le pase o se afecte por un suceso de origen físico por

eso su probabilidad es de 0,8.

Los activos, recursos y áreas con un mayor peso de riesgo son:

Datos e información las amenazas que lo motivan son:

Sabotaje (ataque físico y electrónico)

Robo / Hurto de información electrónica

Intrusión a Red interna

Perdida de datos

Manejo inadecuado de datos críticos (codificar, borrar, etc.)

Fallas en permisos de usuarios (acceso a archivos)

UNIARIES

11 de 37

Falta de normas y reglas claras (no institucionalizar el estudio de los

riesgos)

Ausencia de documentación.

Todas estas amenazas son tanto para correo electrónico, bases de datos y

páginas web.

En los equipos como lo es el cortafuegos (firewall)

Sabotaje (ataque físico y electrónico)

robo y hurto de información

intrusión red interna

virus, ejecución no autorizada de programas

polvo

perdida de datos

infección de sistema a través de unidades o escaneo

manejo inadecuado de datos críticos.

Equipos de red cableada y equipos cableados

Manejo inadecuado de contraseñas

Personal interno y externo

intrusión interna y externa

infección de sistema a través de unidades sin escanear

Soporte técnico extremo

Daños por vandalismos

fraude estafa

robo hurto de información

intrusión a red interna

virus, ejecución no autorizada de programas

falta de inducción capacitación y sensibilización

mal manejo de sistemas y herramientas

perdida de datos

manejo inadecuado de datos críticos.

Transmisión no cifrada datos críticos

manejo inadecuado de contraseñas

compartir contraseñas o permisos a terceros no autorizados

transmisión de contraseñas por teléfono

fallas en permisos de usuarios (acceso a archivos)

acceso electrónico no autorizado

UNIARIES

12 de 37

ausencia de documentación

4. Políticas de Seguridad Informática

Organización de la seguridad informática

Gerencia:

Autoridad de nivel superior que integra el comité de seguridad. Bajo su administración están la aceptación y seguimiento de las políticas y normativa de seguridad.

Gestor de Seguridad:

Persona dotada de conciencia técnica, encargada de velar por la seguridad de la información, realizar auditorías de seguridad, elaborar documentos de seguridad como, políticas, normas; y de llevar un estricto control.

Unidad Informática:

Entidad o Departamento dentro de la institución, que vela por todo lo relacionado con la utilización de computadoras, sistemas de información, redes informáticas, procesamiento de datos e información y la comunicación en sí, a través de medios electrónicos.

Responsable de Activos:

Personal dentro de los diferentes departamentos administrativos de la institución, que velará por la seguridad y correcto funcionamiento de los activos informáticos, así como de la información procesada en éstos, dentro de sus respectivas áreas o niveles de mando.

Base Legal:

La elaboración del manual de normas y políticas de seguridad informática, está fundamentado bajo la norma ISO/IEC 27001, unificada al manual interno de trabajo y el manual de normas y políticas de recurso humano de la Universidad UNIARIES.

Vigencia:

La documentación presentada como normativa de seguridad entrará en vigencia desde el momento en que éste sea aprobado como documento técnico de seguridad informática por las autoridades correspondientes de la Universidad UNIARIES. Esta normativa deberá ser revisada y actualizada conforme a las exigencias de la universidad, o en el momento en que haya la necesidad de realizar cambios sustanciales en la infraestructura tecnológica de

UNIARIES

13 de 37

la Red Institucional

Visión:

Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema de gestión de seguridad de la información.

Misión:

Establecer las normativas necesarias para el correcto funcionamiento de un sistema de gestión para la seguridad de la información, enmarcando su aplicabilidad en un proceso de desarrollo continuo y actualizable.

Alcances del Área de Aplicación:

El ámbito de aplicación del manual de normas y políticas de seguridad informática, es la infraestructura tecnológica y entorno informático de la red institucional de la Universidad UNIARIES.

El ente que garantizará la ejecución y puesta en marcha de la normativa y políticas de seguridad, estará bajo el cargo de la Unidad de Informática.

Glosario de Términos:

Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de

propiedad de una entidad en el ambiente informático, llámese activo a los

bienes de información y procesamiento, que posee la institución. Recurso del

sistema de información o relacionado con éste, necesario para que la

organización funcione correctamente y alcance los objetivos propuestos.

Administración Remota: Forma de administrar los equipos informáticos o servicios de la Universidad UNIARIES, a través de terminales o equipos remotos, físicamente separados de la institución. Amenaza: Es un evento que puede desencadenar un incidente en la entidad, produciendo daños materiales o pérdidas inmateriales en sus activos. Archivo Log: Ficheros de registro del sistemas, en los que se anota los pasos que dan (lo que hace un usuario, como transcurre una conexión, horarios de conexión, terminales o IP´s involucradas en el proceso, etc.)

Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.

Confidencialidad: Proteger la información de su revelación no autorizada. Esto significa que la información debe estar protegida de ser copiada por cualquiera

UNIARIES

14 de 37

que no esté explícitamente autorizado por la entidad.

Cuenta: Mecanismo de identificación de un usuario. Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de la entidad. Disponibilidad: Los recursos de información sean accesibles, cuando estos sean necesitados.

Encriptación: Es el proceso mediante el cual cierta información o "texto plano" es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación.

Integridad: Proteger la información de alteraciones no autorizadas por la organización. Impacto: consecuencia de la materialización de una amenaza ISO: (Organización Internacional de Estándares) Institución mundialmente reconocida y acreditada para normar en temas de estándares en una diversidad de áreas, aceptadas y legalmente reconocidas. IEC: (Comisión Electrotécnica Internacional) Junto a la ISO, desarrolla estándares que son aceptados a nivel internacional. Normativa de Seguridad ISO/IEC 27001: (Código de buenas prácticas, para el manejo de seguridad de la información). Responsabilidad: En términos de seguridad, significa determinar que individuo en la institución, es responsable directo de mantener seguros los activos de cómputo e información. Servicio: Conjunto de aplicativos o programas informáticos, que apoyan la labor educativa, académica y administrativa, sobre los procesos diarios que demanden información o comunicación de la institución. SGSI: Sistema de Gestión de Seguridad de la Información Soporte Técnico: Personal designado o encargado de velar por el correcto funcionamiento de las estaciones de trabajo, servidores, o equipo de oficina dentro de la entidad. Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo,

en un Dominio o en toda la Organización.

Terceros: Investigadores/Profesores, instituciones educativas o de

investigación, proveedores de software, que tengan convenios educativos o

profesionales con la institución.

UNIARIES

15 de 37

Usuario: Defínase a cualquier persona , que utilice los servicios informáticos de

la red institucional y tenga una especie de vinculación académica o laboral con

esta.

Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza

sobre un Activo.

Políticas de Seguridad

1. Los servicios de la red institucional son de exclusivo uso académico, de investigación, técnicos y para gestiones administrativas, cualquier cambio en la normativa de uso de los mismos, será expresa y adecuada como política de seguridad en este documento.

2. La Universidad UNIARIES nombrará un comité de seguridad, que de seguimiento al cumplimiento de la normativa y cree el entorno necesario para crear un SGSI, el cual tendrá entre sus funciones:

a) Velar por la seguridad de los activos informáticos b) Gestión y procesamiento de información. c) Cumplimiento de políticas.

d) Aplicación de sanciones. e) Elaboración de planes de seguridad. f) Capacitación de usuarios en temas de seguridad.

g) Gestionar y coordinar esfuerzos, por crear un plan de contingencia, que dé sustento o solución, a problemas de seguridad dentro de la institución. El mismo orientará y guiará a los empleados, la forma o métodos necesarios para salir avante ante cualquier eventualidad que se presente.

h) Informar sobre problemas de seguridad a la alta administración universitaria. i) Poner especial atención a los usuarios de la red institucional sobre sugerencias o quejas con respecto al funcionamiento de los activos de información.

El comité de seguridad estará integrado por los siguientes miembros:

Gerencia, Gestor de Seguridad, Administrador red Administrativa y

Administrador Red Educativa

3. El administrador de cada unidad organizativa dentro de la red institucional es el único responsable de las actividades procedentes de sus acciones.

4. El administrador de sistemas es el encargado de mantener en buen estado los servidores dentro de la red institucional. 5. Todo usuario de la red institucional de la Universidad UNIARIES, gozará de absoluta privacidad sobre su información, o la información que provenga de sus acciones, salvo en casos, en que se vea involucrado en actos ilícitos o contraproducentes para la seguridad de la red institucional, sus servicios o cualquier otra red ajena a la institución.

UNIARIES

16 de 37

6. Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los requisitos mínimos de seguridad para acceder a este servicio y acepten las disposiciones de conectividad de la unidad de informática.

7. Las actividades académicas (clases, exámenes, prácticas, tareas, etc.) en los centros de cómputo, tienen la primera prioridad, por lo que a cualquier usuario utilizando otro servicio (por ejemplo Internet o "Chat") sin estos fines, se le podrá solicitar dejar libre la estación de trabajo, si así, fuera necesario.

Excepciones de responsabilidad 1. Los usuarios que por disposición de sus superiores realicen acciones que perjudiquen a otros usuarios o la información que estos procesan, y si estos no cuentan con un contrato de confidencialidad y protección de la información de la institución o sus allegados.

2. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir algunas de las políticas enumeradas en este documento, debido a la responsabilidad de su cargo, o a situaciones no programadas. Estas excepciones deberán ser solicitadas formalmente y aprobadas por el comité de seguridad, con la documentación necesaria para el caso, siendo la gerencia quien dé por sentada su aprobación final.

Clasificación y control de activos Responsabilidad por los activos

1. Cada departamento o facultad, tendrá un responsable por los activos criticos de mayor importancia para la facultad, departamento y/o la universidad.

2. La persona o entidad responsable de los activos de cada unidad organizativa o área de trabajo, velará por la salvaguarda de los activos físicos (hardware y medios magnéticos, aires acondicionados, mobiliario.), activos de información (Bases de Datos, Archivos, Documentación de sistemas, Procedimientos, OS , configuraciones), activos de software (aplicaciones, software de sistemas, herramientas y programas de desarrollo)

3. Los administradores de los sistemas son los responsables de la seguridad de la información almacenada en esos recursos. Clasificación de la información

1. De forma individual, los departamentos de la Universidad UNIARIES, son responsables, de clasificar de acuerdo al nivel de importancia, la información que en ella se procese.

2. Se tomarán como base, los siguientes criterios, como niveles de importancia, para clasificar la información: a) Pública b) Interna c) Confidencia

UNIARIES

17 de 37

3. Los activos de información de mayor importancia para la institución deberán

clasificarse por su nivel de exposición o vulnerabilidad.

Seguridad ligada al personal

Referente a contratos:

1. Se entregará al contratado, toda la documentación necesaria para ejercer sus labores dentro de la institución, en el momento en que se de por establecido su contrato laboral.

El empleado: 1. La información procesada, manipulada o almacenada por el empleado es propiedad exclusiva de la Universidad UNIARIES.

2. La Universidad UNIARIES no se hace responsable por daños causados provenientes de sus empleados a la información o activos de procesamiento, propiedad de la institución, daños efectuados desde sus instalaciones de red a equipos informáticos externos.

Capacitación de usuarios

1. Los usuarios de la red institucional, serán capacitados en cuestiones de seguridad de la información, según sea el área operativa y en función de las actividades que se desarrollan.

2. Se deben tomar todas las medidas de seguridad necesarias, antes de realizar una capacitación a personal ajeno o propio de la institución, siempre y cuando se vea implicada la utilización de los servicios de red o se exponga material de importancia considerable para la entidad.

Respuestas a incidentes y anomalías de seguridad 1. Se realizarán respaldos de la información, diariamente, para los activos de mayor importancia o críticos, un respaldo semanal que se utilizará en caso de fallas y un tercer respaldo efectuado mensualmente, el cuál deberá ser guardado y evitar su utilización a menos que sea estrictamente necesaria

2. Las solicitudes de asistencia, efectuados por dos o más empleados o áreas de proceso, con problemas en las estaciones de trabajo, deberá dárseles solución en el menor tiempo posible.

3. El gestor de seguridad deberá elaborar un documento donde deba explicar los pasos que se deberán seguir en situaciones contraproducentes a la seguridad y explicarlo detalladamente en una reunión ante el personal de

UNIARIES

18 de 37

respuesta a incidentes.

4. Cualquier situación o contrariedad en la seguridad deberá ser documentada, posterior revisión de los registros o Log de sistemas con el objetivo de verificar la situación y dar una respuesta concreta y acorde al problema.

Seguridad lógica

Control de accesos:

1. El Gestor de Seguridad proporcionará toda la documentación necesaria para

agilizar la utilización de los sistemas, referente a formularios, guías, controles,

etc.

2. Cualquier petición de información, servicio o acción proveniente de un

determinado usuario o departamento, se deberá efectuar siguiendo los canales

de gestión formalmente establecidos por la institución, para realizar dicha

acción; no dar seguimiento a esta política implica:

Negar por completo la ejecución de la acción o servicio.

Informe completo dirigido a comité de seguridad, mismo será realizado por la persona o el departamento al cual le es solicitado el servicio.

Sanciones aplicables por autoridades de nivel superior, previamente discutidas con el comité de seguridad.

Administración del acceso de usuarios

1. Son usuarios de la red institucional los docentes de planta, administrativos, secretarias, alumnos, y toda aquella persona, que tenga contacto directo como empleado y utilice los servicios de la red institucional de la Universidad UNIARIES.

2. Se asignará una cuenta de acceso a los sistemas de la intranet, a todo usuario de la red institucional, siempre y cuando se identifique previamente el objetivo de su uso o permisos explícitos a los que este accederá, junto a la información personal del usuario.

3. Los alumnos, son usuarios limitados, estos tendrán acceso únicamente a los servicios de Internet y recursos compartidos de la red institucional, cualquier cambio sobre los servicios a los que estos tengan acceso, será motivo de revisión y modificación de esta política, adecuándose a las nuevas especificaciones

4. Se consideran usuarios externos o terceros, cualquier entidad o persona natural, que tenga una relación con la institución fuera del ámbito de empleado/estudiante y siempre que tenga una vinculación con los servicios de la red institucional.

5. El acceso a la red por parte de terceros es estrictamente restrictivo y

UNIARIES

19 de 37

permisible únicamente mediante firma impresa y documentación de aceptación de confidencialidad hacia la institución y comprometido con el uso exclusivo del servicio para el que le fue provisto el acceso.

6. No se proporcionará el servicio solicitado por un usuario, departamento o facultad, sin antes haberse completado todos los procedimientos de autorización necesarios para su ejecución.

7. Se creará una cuenta temporal del usuario, en caso de olvido o extravío de información de la cuenta personal, para brindarse al usuario que lo necesite, siempre y cuando se muestre un documento de identidad personal.

8. La longitud mínima de caracteres permisibles en una contraseña se establece en 5 caracteres, los cuales tendrán una combinación alfanumérica.

9. La longitud máxima de caracteres permisibles en una contraseña se establece en 12 caracteres.

Responsabilidades del usuario 1. El usuario es responsable exclusivo de mantener a salvo su contraseña. 2. El usuario será responsable del uso que haga de su cuenta de acceso a los sistemas o servicios. 3. Se debe evitar el guardar o escribir las contraseñas en cualquier papel o superficie o dejar constancia de ellas, a menos que ésta se guardada en un lugar seguro.

4. El usuario es responsable de eliminar cualquier rastro de documentos proporcionados por el Gestor de Seguridad, que contenga información que pueda facilitar a un tercero la obtención de la información de su cuenta de usuario.

5. El usuario es responsable de evitar la práctica de establecer contraseñas relacionadas con alguna característica de su persona o relacionado con su vida o la de parientes, como fechas de cumpleaños o alguna otra fecha importante.

6. El usuario deberá proteger su equipo de trabajo, evitando que personas ajenas a su cargo puedan acceder a la información almacenada en el, mediante una herramienta de bloqueo temporal (protector de pantalla), protegida por una contraseña, el cual deberá activarse en el preciso momento en que el usuario deba ausentarse.

7. Cualquier usuario que encuentre un hueco o falla de seguridad en los sistemas informáticos de la institución, está obligado a reportarlo a los administradores del sistema o gestor de seguridad.

Uso de correo electrónico:

1. El servicio de correo electrónico, es un servicio gratuito, y no garantizable, se debe hacer uso de el, acatando todas las disposiciones de seguridad diseñadas para su utilización y evitar el uso o introducción de software malicioso a la red institucional.

UNIARIES

20 de 37

2. El correo electrónico es de uso exclusivo, para los empleados de la Universidad UNIARIES y accionistas de la misma. 3. Todo uso indebido del servicio de correo electrónico, será motivo de suspensión temporal de su cuenta de correo o según sea necesario la eliminación total de la cuenta dentro del sistema.

4. El usuario será responsable de la información que sea enviada con su cuenta. 5. El comité de seguridad, se reservará el derecho de monitorear las cuentas de usuarios, que presenten un comportamiento sospechoso para la seguridad de la red institucional.

6. El usuario es responsable de respetar la ley de derechos de autor, no abusando de este medio para distribuir de forma ilegal licencias de software o reproducir información sin conocimiento del autor.

Seguridad en acceso de terceros

1. El acceso de terceros será concedido siempre y cuando se cumplan con los requisitos de seguridad establecidos en el contrato de trabajo o asociación para el servicio, el cual deberá estar firmado por las entidades involucradas en el mismo.

2. Todo usuario externo, estará facultado a utilizar única y exclusivamente el servicio que le fue asignado, y acatar las responsabilidades que devengan de la utilización del mismo.

3. Los servicios accedidos por terceros acataran las disposiciones generales de acceso a servicios por el personal interno de la institución, además de los requisitos expuestos en su contrato con la universidad.

Control de acceso a la red Unidad de Informática y afines a ella.

1. El acceso a la red interna, se permitirá siempre y cuando se cumpla con los requisitos de seguridad necesarios, y éste será permitido mediante un mecanismo de autenticación.

2. Se debe eliminar cualquier acceso a la red sin previa autenticación o validación del usuario o el equipo implicado en el proceso. 3. Cualquier alteración del tráfico entrante o saliente a través de los dispositivos de acceso a la red, será motivo de verificación y tendrá como resultado directo la realización de una auditoria de seguridad.

4. El departamento de informática deberá emplear dispositivos de red para el bloqueo, enrutamiento, o el filtrado de tráfico evitando el acceso o flujo de información, no autorizada hacia la red interna o desde la red interna hacia el exterior.

UNIARIES

21 de 37

5. Los accesos a la red interna o local desde una red externa de la institución , se harán mediante un mecanismo de autenticación seguro y el trafico entre ambas redes o sistemas será cifrado

6. Se registrara todo acceso a los dispositivos de red, mediante archivos de registro o Log, de los dispositivos que provean estos accesos. 7. Se efectuara una revisión de Log de los dispositivos de acceso a la red en un tiempo máximo de 48 horas. Control de acceso al sistema operativo

1. Se deshabilitarán las cuentas creadas por ciertas aplicaciones con privilegios de sistema, (cuentas del servidor de aplicaciones, cuentas de herramientas de auditoría, etc.) evitando que estas corran sus servicios con privilegios nocivos para la seguridad del sistema.

2. Al terminar una sesión de trabajo en las estaciones, los operadores o cualquier otro usuario, evitara dejar encendido el equipo, pudiendo proporcionar un entorno de utilización de la estación de trabajo.

Servidores 3. El acceso a la configuración del sistema operativo de los servidores, es únicamente permitido al usuario administrador. 4. Los administradores de servicios, tendrán acceso único a los módulos de configuración de las respectivas aplicaciones que tienen bajo su responsabilidad 5. Todo servicio instalado en los servidores, correrá o será ejecutado bajo cuentas restrictivas, en ningún momento se obviaran situaciones de servicios corriendo con cuentas administrativas, estos privilegios tendrán que ser eliminados o configurados correctamente.

Control de acceso a las aplicaciones

1. Las aplicaciones deberán estar correctamente diseñadas, con funciones de acceso especificas para cada usuario del entorno operativo de la aplicación, las prestaciones de la aplicación.

2. Se deberá definir y estructurar el nivel de permisos sobre las aplicaciones, de acuerdo al nivel de ejecución o criticidad de las aplicaciones o archivos, y haciendo especial énfasis en los derechos de escritura, lectura, modificación, ejecución o borrado de información.

3. Se deberán efectuar revisiones o pruebas minuciosas sobre las aplicaciones, de forma aleatoria, sobre distintas fases, antes de ponerlas en un entorno operativo real, con el objetivo de evitar redundancias en las salidas de información u otras anomalías.

4. Las salidas de información, de las aplicaciones, en un entorno de red, deberán ser documentadas, y especificar la terminal por la que deberá

UNIARIES

22 de 37

ejecutarse exclusivamente la salida de información.

5. Se deberá llevar un registro mediante Log de aplicaciones, sobre las actividades de los usuarios en cuanto a accesos, errores de conexión, horas de conexión, intentos fallidos, terminal desde donde conecta, entre otros, de manera que proporcionen información relevante y revisable posteriormente.

Monitoreo del acceso y uso del sistema

1. Se registrará y archivará toda actividad, procedente del uso de las aplicaciones, sistemas de información y uso de la red, mediante archivos de Log.

2. Los archivos de Log, almacenarán nombres de usuarios, nivel de privilegios, IP de terminal, fecha y hora de acceso o utilización, actividad desarrollada y aplicación implicada en el proceso,

3. Se efectuará una copia automática de los archivos de Log, y se conducirá o enviara hacia otra terminal o servidor, evitando se guarde la copia localmente donde se produce.

Gestión de operaciones y comunicaciones Responsabilidades y procedimientos operativos 1. El personal administrador de algún servicio, es el responsable absoluto por mantener en óptimo funcionamiento ese servicio, coordinar esfuerzos con el gestor de seguridad, para fomentar una cultura de administración segura y servios óptimos.

2. Las configuraciones y puesta en marcha de servicios, son normaas por el departamento de informática, y el comité de seguridad.

3. El personal responsable de los servicios, llevará archivos de registro de fallas de seguridad del sistema, revisara, estos archivos de forma frecuente y en especial después de ocurrida una falla.

Protección contra software malicioso

1. Se adquirirá y utilizará software únicamente de fuentes confiables.

2. En caso de ser necesaria la adquisición de software de fuentes no

confiables, este se adquirirá en código fuente

3. Los servidores, al igual que las estaciones de trabajo, tendrán instalado y configurado correctamente software antivirus actualizable y activada la protección en tiempo real.

UNIARIES

23 de 37

Mantenimiento

1. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de la unidad de informática, o del personal de soporte técnico.

2. El cambio de archivos de sistema, no es permitido, sin una justificación aceptable y verificable por el gestor de seguridad. 3. Se llevará un registro global del mantenimiento efectuado sobre los equipos y cambios realizados desde su instalación. Manejo y seguridad de medios de almacenamiento 1. Los medios de almacenamiento o copias de seguridad del sistema de archivos, o información de la entidad, serán etiquetados de acuerdo a la información que almacenan, detallando o haciendo alusión a su contenido.

2. Los medios de almacenamiento con información crítica o copias de respaldo deberán ser manipulados única y exclusivamente por el personal encargado de hacer los respaldos y el personal encargado de su salvaguarda.

3. Todo medio de almacenamiento con información crítica será guardado bajo llave en una caja especial a la cual tendrá acceso únicamente, el gestor de seguridad o la gerencia administrativa, esta caja no debería ser removible, una segunda copia será resguardada por un tercero.

4. Se llevará un control, en el que se especifiquen los medios de almacenamiento en los que se debe guardar información y su uso

Seguridad física

EGURIDAD FÍSICA

Seguridad física y ambiental

Seguridad de los equipos

1. El cableado de red, se instalará físicamente separado de cualquier otro tipo

de cables, llámese a estos de corriente o energía eléctrica, para evitar

interferencias.

2. Los servidores, sin importar al grupo al que estos pertenezcan, con problemas de hardware, deberán ser reparados localmente, de no cumplirse lo anterior, deberán ser retirados sus medios de almacenamiento.

3. Los equipos o activos críticos de información y proceso, deberán ubicarse en áreas aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por el gestor de seguridad y las personas responsables por esos activos, quienes deberán poseer su debida identificación.

UNIARIES

24 de 37

Controles generales

1. Las estaciones o terminales de trabajo, con procesamientos críticos no deben de contar con medios de almacenamientos extraíbles, que puedan facilitar el robo o manipulación de la información por terceros o personal que no deba tener acceso a esta información.

2. En ningún momento se deberá dejar información sensible de robo, manipulación o acceso visual, sin importar el medio en el que esta se encuentre, de forma que pueda ser alcanzada por terceros o personas que no deban tener acceso a esta información.

3. Deberá llevarse un control exhaustivo del mantenimiento preventivo y otro para el mantenimiento correctivo que se les haga a los equipos.

5. Sistema de Seguridad Informática

La entidad Uniaries contara con políticas restringible para los estudiantes,

empleados, usuarios y personal que no correspondan al área de administración

como a páginas web, a sitios no autorizados y permisos no correspondientes

para ellos.

Los administradores de la red y técnicos solo ellos podrán tener acceso al área

de teleinformatica y serán los únicos responsables de los dispositivos activos

tendrán un horario donde el área de teleinformatica estará vigilada,

monitorizada las 24 horas del día.

Se establecerá en la entidad políticas permisivas para estudiantes, empleados,

usuarios y personal administrativo de la entidad para no hacer mal uso de las

diferentes estaciones de trabajo y perder tiempo en cosas no correspondientes

para ellos.

5.1 Medios Humanos

La entidad Uniaries dispone con un personal altamente calificado para el

manejo, control, implementación, especialización en el área de la informática y

la seguridad de la red.

Juan Camilo Muñoz administrador de red y encargado de algunos

activos informáticos de la entidad

Alexander Henao administrador de la red y encargado de algunos

dispositivos activos de la entidad

UNIARIES

25 de 37

Vanessa Gomez administradora de red

Cristian camilo Sepulveda administrador de la red

Juan Camilo Restrepo administrador de red

Contamos con Alonso Cabrales presidente actual de la entidad.

Jose Luis Perales gerente de la entidad.

Carolina Velez es la Jefe de el área de recursos humanos

Alonso cabrales vela por el buen funcionamiento y eficacia de la entidad

disponiendo así de todos los administradores y empleados de la misma para

que cumplan sus respectivas labores.

Juan Camilo Muñoz además de que es el encargado de la red de la entidad

para que no se presente problemas de conectividad también es el encargado

de administrar algunos dispositivos activos tales como AP, swith este verifica a

diario que los servidores estén en correcto funcionamiento para el buen uso de

estos

Alexander Henao cumple con administrar la red para que no presente problema

alguno de conectividad, se encarga también de administrar varios de los

dispositivos de la entidad como lo son AP, swith y esta pendiente de que le

servidor de la entidad este en correcto funcionamiento para los diferentes

administradores de la red.

Vanessa Gómez además de velar por el buen funcionamiento de la red es la

encargada de administrar el firewall, el servicio de correo electrónico y el DNS

de la entidad. Se mantiene actualizada en el area de seguridad para mantener

el firewall en correcto funcionamiento y con los parches adecuados.

Cristian Camilo Sepulveda administrar la red adecuadamente para mantener en

funcionamiento la conectividad de la entidad además administra servicios tales

como Ftp y DNS y en la parte de seguridad administra el IDS aplicando

parches actualizaciones posibles para que tenga un buen funcionamiento.

Juan Camilo Restrepo vela por que la red se encuentre en un estado de

funcionamiento correcto además de esto administra e implementa el servicio de

proxy y maneja los sistemas operativos de la entidad.

Carolina Vélez persona clave para la entidad ya que cuenta con una alta

experiencia profesional de ella y del personal que la acompaña depende de

que la entidad fracase o sea un éxito. Ella es la encargada de que el personal

de la entidad se sienta en un ambiente motivador, también supervisa que los

cambios para la entidad sean planeados y coordinados para asegurar la

UNIARIES

26 de 37

productividad de la entidad y conlleva a mantener la integridad y socialización

de la misma.

José Luis Perales es el encargado de velar por la entidad para que tenga un

buen funcionamiento en todos sus aspectos el cuenta con el personal de la

entidad para que cumplan las distintas funciones en las áreas especificas.

5.2 Medios Técnicos

Los sistemas operativos que se implementaran en la entidad son Ubuntu,

centos y Windows XP cada cuenta de usuario cuenta con una contraseña

fuerte mayor a 8 dígitos y con caracteres especiales, las cuentas de los

servidores cuentan con una contraseña mayor a 12 dígitos y con caracteres

especiales al inicio y al final de la cuenta y no se permite la instalación de

software adicional por parte del usuario.

Los tipos de red que se utilizaran son LAN, WLAN, DMZ y WAN donde la LAN

tendrá acceso a la WAN y a la DMZ, la WAN tiene restricción hacia la LAN y

acceso algunos servicios de la DMZ, en la WLAN los usuarios se tendrán que

autenticar en el AP por medio de WPA2 y a la vez contra un servidor RADIUS.

La topología que se implementara será en forma de estrella.

Los servicios utilizados en la red interna de la entidad son el DNS, DHCP y

servidores de acceso público el correo electrónico, WEB y FTP en el cual

tendrá claves de acceso de 12 dígitos con caracteres especiales al inicio y al

final; el servidor de correo cuenta con seguridad TLS, SSL y SASL, el servidor

Web cuenta con seguridad TLS/SSL y nuestro servidor FTP con autenticación

de usuarios

El servidor proxy de la entidad cuenta con filtrar contenidos no deseados para

la misma y la optimización del ancho de banda.

El firewall tendrá el filtrado de paquetes donde se especificara la entrada de

tráfico que pasara a nuestra entidad

Se utilizara sniffers ya que este nos permitirá capturar todo el tráfico que

pasara por nuestra red también se utilizara pfsense que se une con el snort

para la perfecta administración y monitoreo de la red, el trafico de la red se

analizara máximo cada 48 horas por el administrador de red Cristian Camilo

Sepulveda uno de los encargados en el área de seguridad.

Utilizaremos un sistema de detección de intrusos en la red para así evitar

posibles ataques a la entidad.

UNIARIES

27 de 37

Los sistemas criptográficos empleados en la entidad son TLS/SSL para la

debida protección de los ficheros y datos.

5.3 Medidas y Procedimientos de Seguridad Informática

Solo tendrán acceso al área de teleinformatica las personas con acceso

autorizado como lo son los administradores de red y técnicos de la entidad.

Solo tendrán permisos de descargas de software y aplicaciones, pero no

tendrán permisos de instalación de software a no ser que le administrador se lo

permita. Solo los usuarios de la entidad tendrán los datos y ficheros

correspondientes más no información privada o permisos de administrador del

sistema.

Los usuarios tendrán acceso a sitios web como Facebook, youtube de 12 a 2

de la tarde, no tendrán acceso a sitios web pornográficos en el resto del día

podrán navegar en los diferentes sitios web.

Las áreas de tecnologías de información serán autorizadas y controladas las 24

horas del día

Los usuarios de la entidad como los estudiantes tendrán acceso a los sistemas

como invitado mas no como administrador, los estudiantes tendrán claves de 5

dígitos sin caracteres especiales. Para el personal administrativo de la entidad

la clave contara con más de 12 dígitos con caracteres especiales al inicio y al

final estas claves se actualizaran cada 20 días para una mayor seguridad y

para demás empleados de la entidad la clave contara con 8 dígitos con

caracteres especiales venciendo cada 20 días.

La información privada de la entidad se hace backup mensualmente para

garantizar un respaldo de la información.

La entidad cuenta con personal calificado para el mantenimiento y soporte

técnico de los activos, si los activos fuesen traslados o formateados por

equivocación contaremos con un backup o claves de alta seguridad que solo el

personal de la entidad podrán acceder a ellos para que la información no sea

divulgada, modificada por personal diferente a ella.

Los administradores de red tendrán que tener mucho cuidado con dejar

secciones de administración abiertas que perjudiquen la entidad como en

modificación, pérdida o divulgación de información valiosa para la entidad.

UNIARIES

28 de 37

5.3.1 De protección Física

5.3.1.1 A las Áreas con tecnologías instaladas

En esta especificaremos la protección que van a tener nuestros dispositivos

como lo son servidores, switchs, etc.

La seguridad que se le brindaran ha estos dispositivos van a ser las siguientes:

Van a estar en un lugar donde solo tendrán ingreso personas con autorización.

Y además solo podrán configurar y tener la autorización para manipular estos

activos de información.

5.3.1.2 Tecnologías de información

Esta consiste en no tener información a la vista para personas que no tengan

nada que ver con la entidad o con personal no autorizado para el área

específica. Además las claves constaran con caracteres especiales y será de

una longitud mínima de12 dígitos.

NOTA: Ninguna clave puede dejarse a la vista de ninguna persona

5.3.1.3 A los soportes de información

Debido a que los soportes de información son de vital importancia para la

organización, ya que permiten alojar Los sistemas operativos y aplicaciones

que son necesarias para la administración y operación del sistema. su Mayor

importancia Reside en que permiten almacenar la información producida y

manipulada por la Organización, la cual es necesaria para su correcto

funcionamiento esta información puede ser las Bases de datos, contactos,

manuales de equipos y aplicaciones entre otros.

Como sabemos el activo más importante para una organización es

precisamente la información y que esta información debe Cumplir con tres

principios fundamentales que son:

Integridad: que la información este completa y sea veraz (evitar corrupción de

datos)

Disponibilidad: que la información esté disponible para quien la necesite y

cuando lo necesite

Privacidad: acceso a la información solo al personal autorizado.

UNIARIES

29 de 37

Para que lo anteriormente mencionado se cumpla debemos de contar con

soportes de información, en este caso medios de almacenamiento como discos

duros, citas, medios extraíbles entre otros deben estar en óptimas Condiciones

para su correcto funcionamiento.

Con La finalidad de tener en buenas condiciones dichos medios se deben

tomar las siguientes medidas:

Tener plenamente identificados los equipos tanto a nivel físico como lógico

Identificar el personal encargado de dichos equipos

Hacer un mantenimiento periódico tanto a nivel de hardware como de software

llevar un seguimiento a los dispositivos y documentar los resultados de los chequeos

Destruir información sensible al desechar medios de almacenamiento

5.3.2 Técnicas o lógicas

Como sabemos los sistemas de información ofrecen grandes ventajas a las

organizaciones principalmente en el Campo de las telecomunicaciones que es

un proceso vital para cualquier compañía, debido a que gran parte de Procesos

que se dan dentro de la misma depende de las comunicaciones en uno u otro

sentido.

Ahora bien sabemos que las telecomunicaciones ayudan a agilizar los

procesos, y para lograr esto se valen de de Medios físicos (hardware) y Lógicos

(software), que funcionan en conjunto para formar una infraestructura de Red

que hace posible tener al interior de la organización en este caso servicios

como:

Correo electrónico: facilitar la comunicación tanto a nivel interno como externo

de la compañía.

Servidor FTP: que facilita el trabajo al interior de la compañía al compartir

información y recursos de manera Centralizada.

Motores de Bases de datos: usados para gestionar la información de usuarios,

empleados, contactos, y utilizada por algunos programas y utilidades para

almacenar información de control.

Servidor WEB: Con el fin de que la compañía pueda publicar sus productos y

servicios al exterior de una forma fácil y Rápida.

Como podemos ver los servicios anteriormente mencionados añaden

funcionalidad y contribuyen a que la compañía cumpla mejor sus funciones,

UNIARIES

30 de 37

también trae consigo Riesgos que deben aceptarse y tratarse para evitar que

se vea comprometida la seguridad de la información. Para reducir los Riesgos

se adoptaran medidas tanto físicas como lógicas.

Medidas Físicas

Los equipos activos de interconexión como switch, routers AP, y demás deberán estar en un cuarto seguro y con las condiciones necesarias para su correcto funcionamiento.

Las puertas de acceso a los cuartos de telecomunicación deberán estar diseñadas con estándares de seguridad requeridas para dichos cuartos

se definirá un plan de mantenimiento preventivo para mantener en correcto funcionamiento los dispositivos

los cuartos de telecomunicación no deberán estar cerca a tuberías de aguas y deben contar la ventilación adecuada

la energía suministrada a los equipos activos deberá ser regulada para evitar que las infatuaciones en la misma para evitar daños a los activos

Cualquier cambio de hardware tendrá ser informado y aproado por la dirección.

Medidas Lógicas

El acceso a estos dispositivos activos solo lo tendrá personal autorizado y en función del rol que desempeñe dentro la organización.

Los activos que brindan conectividad a nivel interno como externo no deberán contener contraseñas por defecto

Cualquier cambio en la configuración de los dispositivos deberá ser justificada y documentada con el fin de corregir errores en caso de presentarse

Se contara con un sistema de detección de intrusos ( IDS ) con el fin de detectar intrusión a la red interna

Se instalara un Firewall con la finalidad controlar el acceso desde internet a la red interna y viceversa.

También se contara con un proxy para filtrar el contenido al que se accede en internet desde la red local

No se permitirá la instalación de software en el los equipos por parte del usuario final

5.3.2.1 Identificación de usuarios

Después de haber definido medidas técnicas lógicas y físicas en cuanto a los

dispositivos y equipos de la entidad

Es de suma importancia que se definan las medidas y políticas para la

identificación de los usuarios ante el sistema para que estos puedan hacer uso

del mismo.

UNIARIES

31 de 37

A continuación se describen medidas a implementar.

Las cuentas de los usuarios serán otorgados por los administradores del sistema

El usuario deberá cambiar la contraseña cuando se autentique por primera vez en el sistema

La nueva contraseña ingresada por el usuario deberá ser mínimo de 8 caracteres y contener números o caracteres especiales.

Las contraseñas serán cambiadas periódicamente con el fin de evitar que personas ajenas a la institución y por el descuido el usuario hagan mal uso de las mismas.

Finalmente las cuentas de empleados que se retiren de la institución serán eliminadas del sistema para evitar que el mismo se vea comprometido por el uso mal intencionado de las mismas

5.3.2.2 Autenticación de usuarios

En la entidad cada empleado tiene una cuenta en su equipo en la que a cada uno se le asigna por primera vez la contraseña, cuando ingrese el sistema le pedirá un cambio de contraseña. Esta contraseña será utilizada para tener acceso a las aplicaciones que el empleado necesita, mas no le servirá para tener permisos de administrador. La contraseña no puede tener referencia a datos personales ni referentes a la entidad, debe ser mayor a 8 dígitos y tener caracteres especiales. No puede ser divulgada ni hacer un traspaso de ella. La contraseña se debe cambiar cada veinte días para garantizar de que otras personas no la intercepten y así no se pondrá en riesgo la integridad, disponibilidad y confidencialidad de la información.

5.3.2.3 Control de acceso a los activos y recursos En la entidad se cuenta con unos activos que tienes algunas restricciones como lo son Switch, AP, los servidores, las bases de datos y servicios como Correo, DHCP, Web, FTP, DNS, DHCP, Proxy y Firewall, el acceso para estos son contraseñas de carácter fuerte en las que consiste tener mas de 12 dígitos con un carácter especial al inicio y final, no tener referencia a la empresa ni datos personales de el responsable del activo. Los derechos y privilegios de acceso los otorgan los administradores de la red y responsables de los activos de la entidad que son Vanessa Gómez, Juan Camilo Muñoz, Cristian Camilo Sepúlveda, Alexander Henao y Camilo Restrepo. Los derechos y privilegios de acceso a los activos se le otorga a los responsables de cada uno de ellos y en cuanto las bases de datos, el presidente y gerente de la entidad también cuentan con ellos.

UNIARIES

32 de 37

Para otorgar derechos y privilegios de acceso solo se le dan a los responsables de cada activo y para suspenderlo tendrían que haber violado alguna política de la entidad o cambio de responsable.

5.3.2.4 Integridad de los ficheros y datos

Las medidas de seguridad implementados para los sistemas operativos es una contraseña de carácter fuerte y evitar que los empleados dejen las cuentas abiertas para evitar la fuga de la información. En cuanto las bases los usuarios necesitan autenticación y también se restringe los hosts ya que solo algunos pueden tener acceso. Las medidas que se implementaron para asegurar la integridad del software y la configuración de los medios técnicos evitar la descarga de software y aplicaciones, no dejar ingresar a personas que no este relacionadas con el área mencionada y asignar los permisos adecuados para la administración de los activos de la entidad. Los medios criptográficos empleados por la entidad son los SSL y TLS para la protección de ficheros y datos. Para la protección contra virus se implemento el antivirus Nod 32 y antispam, para proteger nuestra entidad de posibles explotaciones se cuenta con un IDS y un Firewall.

5.3.2.5 Auditoría y Alarmas En la entidad se implemento un IDS para detectar posibles intrusos a la red y poder tomar medidas para evitar ataques. También se cuenta con un FIREWALL que restringe el acceso a la LAN y DMZ de la entidad del lado de la WAN en cuanto las reglas establecidas y que se une con el IDS para que en el caso que detecte un intruso trabaje conjunto y cierren el puerto o el servicio. Se cuenta con un Proxy para optimizar el ancho de banda y filtrado de contenido. También utilizamos sniffers que nos permite capturar el tráfico de red de la

entidad para visualizar lo que está ocurriendo en ella.

5.3.3 Seguridad de operaciones

Identificación y control de las tecnologías en explotación, en particular aquellas

donde se procese información clasificada.

Las tecnologías más usadas en nuestra entidad son los servicios de red y

aplicaciones como lo son servicios unos de ellos son DNS y servicios de

correo los cuales estarán a disposición de cada vez que una persona integrante

de nuestra entidad los requiera utilizar.

UNIARIES

33 de 37

Control sobre la entrada y salida en la entidad de las tecnologías de

información (máquinas portátiles, periféricos, soportes, etc.).

Las medidas que se tomaran frente a este son:

No ingresar dispositivos sin previo registro.

Está prohibido el acceso de cámaras de vídeo o cámaras fotográficas a áreas

confidenciales o de solo personal autorizado

No dejar salir ningún tipo de dispositivos cuyo registro no se haya realizado

Si los dispositivos requieren de su salida y son propios a la entidad deben ser

reportados.

Analizar cada serial de equipos y verificarlos en la base de datos de activos de

la entidad.

Metodología establecida para las salvas de la información, especificando su

periodicidad, responsabilidades, cantidad de versiones, etc.)

Las metodologías implantadas en UNIARIES son el respaldo de backup para

guardar o almacenar la información y que esta misma se encuentre disponible

cuando se solicite su uso la responsabilidad de realizar este respaldo de

información es del sysadmin encargado. Es importante resaltar que estas

copias estén alojadas de forma segura en un lugar especial y cuyo acceso

controlado. Estas se realizaran mensualmente y el tiempo de vida será como

un ciclo lo cual vamos a tener en cuenta las ultimas copias de backup para no

eliminar información que es de un valor importante.

Acciones específicas durante las conexiones externas a la entidad

Durante conexiones a lugares que no son del área de nuestra entidad tenemos

que darle un grado de importancia alto pues es muy probable que haya una

fuga de información

Por esta razón es importante la capacitación al personal interno o advertencias

como:

Prohibido revelar contraseñas

Prohibido revelar datos

Prohibido entablar conversaciones con personas de otra entidad (competencia)

Prohibido subir o transferir información privada de la organización a sitios

públicos

UNIARIES

34 de 37

Está prohibido ingresar a sitios pornográficos, redes sociales, sitios de

mensajería instantánea como chat.

5.3.4 De recuperación ante contingencia

Como ya se ha visto anteriormente se han mencionado los riesgos que hay con

respecto al hardware, software y aplicaciones que usan los usuarios para

acceder a un sistema, de igual manera se consideraron las medidas necesarias

para reducir dichos riesgos. Pero adicional a estos riesgos hay otros que son

ajenos y no dependen de la intervención del hombre como son los fenómenos

naturales y para los cuales la organización de estar preparada en caso de que

se presentase.

Para afrontar dichos riegos la empresa debe contar con un plan de

recuperación que contemple las siguientes medidas:

Copias de seguridad de la información (backup) vital para el funcionamiento de la empresa en servidores externos a la organización con la debida protección

En lo posible contar con más de una sucursal para evitar la interrupción total del servicio prestado por la institución

Asignar roles específicos al personal encargado de ejecutar el plan de recuperación

El personal encargado de elaborar y aprobar el plan de recuperación debe estar plenamente identificado

Finalmente el plan de recuperación debe darse a conocer a todo el personal de la entidad

Las medidas anteriormente mencionadas ayudaran a la organización a llegar a

un punto de equilibrio de forma más rápida en caso de presentarse un desastre

de origen natural o provocado intencionalmente.

6 Anexos

6.1 Programas de seguridad informática

La entidad educativa UNIARIES con el fin de proteger la información o

anteriormente mencionados los activos informáticos decide instalar y modificar

la estructura de su organización con el fin de que esta a un grado mínimo de

exposición hacia posibles eventos que nos podría perjudicar seriamente. El

tiempo para esta modificación es realizado organizadamente con el fin de no

afectar la disponibilidad y el correcto funcionamiento de nuestra organización.

UNIARIES

35 de 37

No solo se modificara la estructura de esta si no que también se realizaran

capacitaciones. Se estará educando al personal de nuestra empresa en

cuestión de cómo saber manejar diferentes experiencias en el entorno de

trabajo como lo son las relaciones o el contacto con otra personas, se tendrá

en cuenta las medidas preventivas a la hora de relacionarnos con los demás y

de brindar información. Este personal no estará sometido a esta capacitación

simultáneamente si no que será implantada las conferencias y capacitaciones

solo por personal seleccionado para no para la productividad de este para no

suspender nuestros servicios.

La entidad también cuenta con un tiempo dedicado para realizar las distintas

pruebas de auditorías, testeo, inspección realizando tanto las distintas

auditorias como lo son internas o externas.

Estas pruebas serán realizadas por un auditor que será el encargado de

entregar los reportes y los análisis de todo lo que realizo en esta inspección y

lo cual sarán realizadas cada vez que se realice un cambio en nuestra entidad

o que se realice u cambio en nuestro sistema lógico aproximadamente cada 6

meses.

6.2 Listado de nominal de usuarios con acceso de alcance

global

Presidente: No tendrá restricciones a ninguna página de internet

Gerente: No tendrá restricción a ninguna página de internet.

Gestor de seguridad: No tendrá restricciones a ninguna página de internet

Unidad de informática: No tendrá ingreso ha paginas sociales, excepto ha msn.

Responsables de activos: No pueden ingresar ha paginas sociales.

Técnicos: Solo tendrán acceso a las páginas necesarias.

Maestros: No podrán ingresar a paginas sociales (excepto ha twitter).

Alumnado: Solo tendrán acceso a unas páginas sociales en unos horarios

específicos.

NOTA: Las páginas pornográficas van a tener restricciones para todas las

personas aquí mencionadas, las 24 horas.

UNIARIES

36 de 37

6.3 Registros

Finalmente es importante que todas las medidas y proceso realizados en la

organización en pro del Mejoramiento en cuanto a la seguridad y uso del

sistema estén bien documentados ya que son de gran utilidad Para solucionar

de manera más rápida y eficaz problemas que puedan presentarse

posteriormente.

A continuación se mencionan procesos de los cuales se debe tener

documentación exacta y actualizada constantemente:

Adquisición nueva de hardware y software

Cambios realizados en el sistema y procedimiento seguido

Mantenimiento preventivo u correctivo realizado a los equipos con fechas y procedimiento seguido

Traslado de equipos a otra ubicación

Incidentes de seguridad y medidas aplicadas para corregirlos

UNIARIES

37 de 37

COCLUSIONES

Con este trabajo los integrantes del grupo Aries lograron obtener conocimientos

necesarios sobre los temas tratados.

También creamos políticas de seguridad para los diferentes activos de nuestra

entidad, tanto tangibles como e intangibles.

Se especificaron los activos importantes de la entidad y además que función

cumplen cada uno de estos y con que seguridad fue implementada.

Además fueron delegados los diferentes roles que cumplen cada persona

dentro de la entidad, cada uno de ellos es encargado del activo

correspondiente dentro de la entidad.

Se especifico las políticas de seguridad que irán hacer implementadas en las

herramientas de seguridad perimetral tales como firewall, proxy, IDS y VPN