Plan de Seguridad
-
Upload
jcrestrepo4 -
Category
Documents
-
view
1.236 -
download
1
Transcript of Plan de Seguridad
PLAN DE SEGURIDAD DE INFORMACION
UNIARIES
Grupo de Trabajo
Vanessa Gómez Deossa
Cristian Camilo Sepúlveda
Alexander Javier Henao
Juan Camilo Muñoz
Juan Camilo Restrepo
Marvin Santiago Álvarez
Profesor
Fernando Quintero
Administración de Redes de Computadores
Sena – Regional Antioquia
Centro de Servicios Y Gestión Empresarial
2010
UNIARIES
2 de 37
TABLA DE CONTENIDO
Introducción 3
Objetivos 4
Elaboración, aprobación y revisión plan de seguridad 5
1. Alcance. 6
2. Caracterización del Sistema Informático. 6
3. Resultados del Análisis de Riesgos. 10
4. Políticas de Seguridad Informática. 12
5. Sistema de Seguridad Informática. 24
5.1. Medios humanos. 24
5.2. Medios técnicos. 26
5.3. Medidas y Procedimientos de Seguridad Informática. 27
5.3.1. De protección física. 28
5.3.1.1. A las áreas con tecnologías instaladas. 28
5.3.1.2. A las tecnologías de información. 28
5.3.1.3. A los soportes de información. 28
5.3.2. Técnicas o lógicas. 29
5.3.2.1. Identificación de usuarios. 30
5.3.2.2. Autenticación de usuarios. 31
5.3.2.3. Control de acceso a los activos y recursos. 31
5.3.2.4. Integridad de los ficheros y datos. 32
5.3.2.5. Auditoria y alarmas. 32
5.3.3. De seguridad de operaciones. 32
5.3.4. De recuperación ante contingencias. 34
6. Anexos. 34
6.1. Programa de Seguridad Informática 34
6.2. Listado nominal de usuarios con acceso a redes de alcance global.
35
6.3. Registros. 36
Conclusiones 37
UNIARIES
3 de 37
INTRODUCCION
Este plan de seguridad fue realizado como parte de nuestro proceso de
formación, se presenta como una evidencia de conocimientos adquiridos en el
área de seguridad en la red.
Este trabajo consta de los pasos necesarios para una correcta elaboración de
un plan de seguridad informático donde se llevaran a cabo puntos específicos y
concretos para dicha implementación.
.
UNIARIES
4 de 37
OBJETIVOS
El propósito de este trabajo es aprender a elaborar un plan de seguridad
informático de una entidad, mediante la implementación de controles de
seguridad para la debida interpretación de políticas de seguridad informática.
Mediante este documento queremos mostrar y dar a entender las diferentes
políticas de seguridad que se pueden implementar en una entidad.
UNIARIES
5 de 37
REV ELABORADO REVISADO APROBADO
NOMBRE Grupo Aries Grupo Aries Alonso Cabrales
CARGO Administradores Administradores Presidente
FIRMA
Camilo restretrepo
Cristian Sepúlveda
Camilo muñoz
Alexander Henao
Marvin alvarez
Camilo restretrepo
Cristian Sepúlveda
Camilo muñoz
Alexander Henao
Marvin alvarez
Alonso cabrales
FECHA 12 de Septiembre de 2010
13 de Septiembre de 2010
14 de Septiembre de 2010
UNIARIES
6 de 37
1. Alcance
El alcance del diagnostico actual de UNIARIES comprende el correcto
funcionamiento de la administración del área de TI.
La estructura de toda la organización como lo son la implementación de las políticas para administrar correctamente los riesgos.
Se tendrá que tener en cuenta el mantenimiento de todos los activos informáticos de nuestra entidad UNIARIES.
Seguridad de la información Asegurar correctamente la seguridad la información basándonos en la
seguridad tanto lógica, física y ambiental
Operaciones monitorizadas o controladas Como lo es realizar procedimientos de respaldo, planeado para la
continuidad de nuestra entidad.
Cumplimiento periódico: Como lo son las normas y la privacidad.
Nota: El alcance se ha de definir en todo el entorno de nuestra entidad hasta
llegar a los límites de la auditoría. Este alcance estará figurado en el informe
final y será valorado en este toda nuestra organización
2. Caracterización del sistema informático
UNIARIES es una entidad prestadora de servicios educativos esta cuenta con
dos sucursales una sede está localizada en la ciudad de Medellín y la otra se
encuentra localizada en la ciudad de Bogotá. Los servicios que tenemos en
nuestra organización son básicos y a continuación vamos a dar detalladamente
donde y que dispositivos están en la organización.
En nuestros activos informáticos que tenemos en nuestra entidad son:
4 switch cisco Catalyst 500-24LC
El cual tiene como funcionamiento de estar interconectado continuamente con
el AP, el servidor y el modem ADSL. A demás nos brindara la conectividad
gracias a su conexión con el modem anteriormente mencionado.
UNIARIES
7 de 37
AP cisco Linksys 610n v2
Este es un dispositivo que interconecta dispositivos de comunicación
inalámbrica para formar una red inalámbrica como también redes cableadas
estos dispositivos es de diseño ligero y discreto para el entorno.
Servidor DELL PowerEdge 11G R210
Este servidor nos brindara la disponibilidad de cada uno de los servicios que
aquí estarán alojados.
Este es un servidor de gama alta con una gran capacidad y además un
excelente funcionamiento
Servidor IBM BladeCenter HS22V
Este servidor nos brindara la disponibilidad de cada uno de los servicios que
aquí estarán alojados. Este es un servidor de gama alta con una gran
capacidad y además un excelente funcionamiento
Todo nuestro cableado de los dispositivos según su conexión estará bajo RJ45
categoría 5-e
Bases de datos
En esta será en la que se almacenara toda la información referente a nuestra
empresa y además tendrá unas especificaciones especiales; Independencia
lógica y física de los datos, redundancia mínima, acceso concurrente por parte
de múltiples usuarios, distribución espacial de los datos, integridad de los
datos, consultas complejas optimizadas, seguridad de acceso y auditorías de
respaldo y recuperación además acceso a través de lenguajes de
programación estándar.
Tendremos servicios de red como:
Correo electrónico, WEB, DNS, FTP y DHCP el funcionamiento de esta entidad
sin duda depende del correcto funcionamiento.
Para observar más detalladamente nuestra entidad podemos ver el siguiente
diagrama de UNIARIES
UNIARIES
8 de 37
Como medida de seguridad esta implementado varios mecanismos que serán
utilizados para la protección de nuestra entidad estos son:
Firewall que son conocidos como cortafuegos pueden ser dispositivos físicos o software que cumple funciones de filtrado de paquetes en un computador.
Proxy: Un proxy es un punto intermedio entre un ordenador conectado a Internet y el servidor que está accediendo.
VPN: de una forma segura podemos extender el perímetro de nuestra
red logrando así que los usuarios que se encuentran en sitios remotos
puedan trabajar como si se tratara de usuarios locales.
UNIARIES
9 de 37
Sistema IDS (sistema de detección de intrusos) Este detectara que
posibles intrusos intentan acceder a nuestra red.
UNIARIES
10 de 37
3. Resultados del Análisis de Riesgos.
Sin ninguna duda el activo más importante para una organización es la
información y en nuestro caso es igual la entidad UNIARIES tiene un valor muy
importare en todos los datos alojados en ella por esta razón es porque le
brindamos una atención especial para proteger su confidencialidad, integridad
y disponibilidad.
Otros activos que tenemos muy en cuenta en nuestra compañía son:
Información servidores, switches principales y administradores.
Las amenazas que actúan sobre ellos, para la información de nuestra entidad
es un atacante anónimo externo ajeno a la entidad o interno empleado de la
entidad; y el riesgo de que se materialice es:
por criminalidad político que puede ser por parte de otra persona ajena a
nuestra entidad tiene un riesgo del 3,5
naturaleza por un suceso físico solo es de 1,9.
negligencia institucional que puede ser realizado por personas de nuestra propia organización lo que puede provocar el robo de la información su riesgo es de un 3,8.
Hay que tener en cuenta que el personal es otro activo importante para el
desempeño de nuestra organización por esta razón es una de las más
vulnerables. El riesgo de que sea víctima de una ingeniería social es de un 5,1
quizás es muy alto pero es la verdad las personas es por así decirlo el punto
que puede ser más débil en nuestra organización. A estas personas es muy
poco probable de que le pase o se afecte por un suceso de origen físico por
eso su probabilidad es de 0,8.
Los activos, recursos y áreas con un mayor peso de riesgo son:
Datos e información las amenazas que lo motivan son:
Sabotaje (ataque físico y electrónico)
Robo / Hurto de información electrónica
Intrusión a Red interna
Perdida de datos
Manejo inadecuado de datos críticos (codificar, borrar, etc.)
Fallas en permisos de usuarios (acceso a archivos)
UNIARIES
11 de 37
Falta de normas y reglas claras (no institucionalizar el estudio de los
riesgos)
Ausencia de documentación.
Todas estas amenazas son tanto para correo electrónico, bases de datos y
páginas web.
En los equipos como lo es el cortafuegos (firewall)
Sabotaje (ataque físico y electrónico)
robo y hurto de información
intrusión red interna
virus, ejecución no autorizada de programas
polvo
perdida de datos
infección de sistema a través de unidades o escaneo
manejo inadecuado de datos críticos.
Equipos de red cableada y equipos cableados
Manejo inadecuado de contraseñas
Personal interno y externo
intrusión interna y externa
infección de sistema a través de unidades sin escanear
Soporte técnico extremo
Daños por vandalismos
fraude estafa
robo hurto de información
intrusión a red interna
virus, ejecución no autorizada de programas
falta de inducción capacitación y sensibilización
mal manejo de sistemas y herramientas
perdida de datos
manejo inadecuado de datos críticos.
Transmisión no cifrada datos críticos
manejo inadecuado de contraseñas
compartir contraseñas o permisos a terceros no autorizados
transmisión de contraseñas por teléfono
fallas en permisos de usuarios (acceso a archivos)
acceso electrónico no autorizado
UNIARIES
12 de 37
ausencia de documentación
4. Políticas de Seguridad Informática
Organización de la seguridad informática
Gerencia:
Autoridad de nivel superior que integra el comité de seguridad. Bajo su administración están la aceptación y seguimiento de las políticas y normativa de seguridad.
Gestor de Seguridad:
Persona dotada de conciencia técnica, encargada de velar por la seguridad de la información, realizar auditorías de seguridad, elaborar documentos de seguridad como, políticas, normas; y de llevar un estricto control.
Unidad Informática:
Entidad o Departamento dentro de la institución, que vela por todo lo relacionado con la utilización de computadoras, sistemas de información, redes informáticas, procesamiento de datos e información y la comunicación en sí, a través de medios electrónicos.
Responsable de Activos:
Personal dentro de los diferentes departamentos administrativos de la institución, que velará por la seguridad y correcto funcionamiento de los activos informáticos, así como de la información procesada en éstos, dentro de sus respectivas áreas o niveles de mando.
Base Legal:
La elaboración del manual de normas y políticas de seguridad informática, está fundamentado bajo la norma ISO/IEC 27001, unificada al manual interno de trabajo y el manual de normas y políticas de recurso humano de la Universidad UNIARIES.
Vigencia:
La documentación presentada como normativa de seguridad entrará en vigencia desde el momento en que éste sea aprobado como documento técnico de seguridad informática por las autoridades correspondientes de la Universidad UNIARIES. Esta normativa deberá ser revisada y actualizada conforme a las exigencias de la universidad, o en el momento en que haya la necesidad de realizar cambios sustanciales en la infraestructura tecnológica de
UNIARIES
13 de 37
la Red Institucional
Visión:
Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema de gestión de seguridad de la información.
Misión:
Establecer las normativas necesarias para el correcto funcionamiento de un sistema de gestión para la seguridad de la información, enmarcando su aplicabilidad en un proceso de desarrollo continuo y actualizable.
Alcances del Área de Aplicación:
El ámbito de aplicación del manual de normas y políticas de seguridad informática, es la infraestructura tecnológica y entorno informático de la red institucional de la Universidad UNIARIES.
El ente que garantizará la ejecución y puesta en marcha de la normativa y políticas de seguridad, estará bajo el cargo de la Unidad de Informática.
Glosario de Términos:
Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de
propiedad de una entidad en el ambiente informático, llámese activo a los
bienes de información y procesamiento, que posee la institución. Recurso del
sistema de información o relacionado con éste, necesario para que la
organización funcione correctamente y alcance los objetivos propuestos.
Administración Remota: Forma de administrar los equipos informáticos o servicios de la Universidad UNIARIES, a través de terminales o equipos remotos, físicamente separados de la institución. Amenaza: Es un evento que puede desencadenar un incidente en la entidad, produciendo daños materiales o pérdidas inmateriales en sus activos. Archivo Log: Ficheros de registro del sistemas, en los que se anota los pasos que dan (lo que hace un usuario, como transcurre una conexión, horarios de conexión, terminales o IP´s involucradas en el proceso, etc.)
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Confidencialidad: Proteger la información de su revelación no autorizada. Esto significa que la información debe estar protegida de ser copiada por cualquiera
UNIARIES
14 de 37
que no esté explícitamente autorizado por la entidad.
Cuenta: Mecanismo de identificación de un usuario. Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de la entidad. Disponibilidad: Los recursos de información sean accesibles, cuando estos sean necesitados.
Encriptación: Es el proceso mediante el cual cierta información o "texto plano" es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación.
Integridad: Proteger la información de alteraciones no autorizadas por la organización. Impacto: consecuencia de la materialización de una amenaza ISO: (Organización Internacional de Estándares) Institución mundialmente reconocida y acreditada para normar en temas de estándares en una diversidad de áreas, aceptadas y legalmente reconocidas. IEC: (Comisión Electrotécnica Internacional) Junto a la ISO, desarrolla estándares que son aceptados a nivel internacional. Normativa de Seguridad ISO/IEC 27001: (Código de buenas prácticas, para el manejo de seguridad de la información). Responsabilidad: En términos de seguridad, significa determinar que individuo en la institución, es responsable directo de mantener seguros los activos de cómputo e información. Servicio: Conjunto de aplicativos o programas informáticos, que apoyan la labor educativa, académica y administrativa, sobre los procesos diarios que demanden información o comunicación de la institución. SGSI: Sistema de Gestión de Seguridad de la Información Soporte Técnico: Personal designado o encargado de velar por el correcto funcionamiento de las estaciones de trabajo, servidores, o equipo de oficina dentro de la entidad. Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo,
en un Dominio o en toda la Organización.
Terceros: Investigadores/Profesores, instituciones educativas o de
investigación, proveedores de software, que tengan convenios educativos o
profesionales con la institución.
UNIARIES
15 de 37
Usuario: Defínase a cualquier persona , que utilice los servicios informáticos de
la red institucional y tenga una especie de vinculación académica o laboral con
esta.
Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza
sobre un Activo.
Políticas de Seguridad
1. Los servicios de la red institucional son de exclusivo uso académico, de investigación, técnicos y para gestiones administrativas, cualquier cambio en la normativa de uso de los mismos, será expresa y adecuada como política de seguridad en este documento.
2. La Universidad UNIARIES nombrará un comité de seguridad, que de seguimiento al cumplimiento de la normativa y cree el entorno necesario para crear un SGSI, el cual tendrá entre sus funciones:
a) Velar por la seguridad de los activos informáticos b) Gestión y procesamiento de información. c) Cumplimiento de políticas.
d) Aplicación de sanciones. e) Elaboración de planes de seguridad. f) Capacitación de usuarios en temas de seguridad.
g) Gestionar y coordinar esfuerzos, por crear un plan de contingencia, que dé sustento o solución, a problemas de seguridad dentro de la institución. El mismo orientará y guiará a los empleados, la forma o métodos necesarios para salir avante ante cualquier eventualidad que se presente.
h) Informar sobre problemas de seguridad a la alta administración universitaria. i) Poner especial atención a los usuarios de la red institucional sobre sugerencias o quejas con respecto al funcionamiento de los activos de información.
El comité de seguridad estará integrado por los siguientes miembros:
Gerencia, Gestor de Seguridad, Administrador red Administrativa y
Administrador Red Educativa
3. El administrador de cada unidad organizativa dentro de la red institucional es el único responsable de las actividades procedentes de sus acciones.
4. El administrador de sistemas es el encargado de mantener en buen estado los servidores dentro de la red institucional. 5. Todo usuario de la red institucional de la Universidad UNIARIES, gozará de absoluta privacidad sobre su información, o la información que provenga de sus acciones, salvo en casos, en que se vea involucrado en actos ilícitos o contraproducentes para la seguridad de la red institucional, sus servicios o cualquier otra red ajena a la institución.
UNIARIES
16 de 37
6. Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los requisitos mínimos de seguridad para acceder a este servicio y acepten las disposiciones de conectividad de la unidad de informática.
7. Las actividades académicas (clases, exámenes, prácticas, tareas, etc.) en los centros de cómputo, tienen la primera prioridad, por lo que a cualquier usuario utilizando otro servicio (por ejemplo Internet o "Chat") sin estos fines, se le podrá solicitar dejar libre la estación de trabajo, si así, fuera necesario.
Excepciones de responsabilidad 1. Los usuarios que por disposición de sus superiores realicen acciones que perjudiquen a otros usuarios o la información que estos procesan, y si estos no cuentan con un contrato de confidencialidad y protección de la información de la institución o sus allegados.
2. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir algunas de las políticas enumeradas en este documento, debido a la responsabilidad de su cargo, o a situaciones no programadas. Estas excepciones deberán ser solicitadas formalmente y aprobadas por el comité de seguridad, con la documentación necesaria para el caso, siendo la gerencia quien dé por sentada su aprobación final.
Clasificación y control de activos Responsabilidad por los activos
1. Cada departamento o facultad, tendrá un responsable por los activos criticos de mayor importancia para la facultad, departamento y/o la universidad.
2. La persona o entidad responsable de los activos de cada unidad organizativa o área de trabajo, velará por la salvaguarda de los activos físicos (hardware y medios magnéticos, aires acondicionados, mobiliario.), activos de información (Bases de Datos, Archivos, Documentación de sistemas, Procedimientos, OS , configuraciones), activos de software (aplicaciones, software de sistemas, herramientas y programas de desarrollo)
3. Los administradores de los sistemas son los responsables de la seguridad de la información almacenada en esos recursos. Clasificación de la información
1. De forma individual, los departamentos de la Universidad UNIARIES, son responsables, de clasificar de acuerdo al nivel de importancia, la información que en ella se procese.
2. Se tomarán como base, los siguientes criterios, como niveles de importancia, para clasificar la información: a) Pública b) Interna c) Confidencia
UNIARIES
17 de 37
3. Los activos de información de mayor importancia para la institución deberán
clasificarse por su nivel de exposición o vulnerabilidad.
Seguridad ligada al personal
Referente a contratos:
1. Se entregará al contratado, toda la documentación necesaria para ejercer sus labores dentro de la institución, en el momento en que se de por establecido su contrato laboral.
El empleado: 1. La información procesada, manipulada o almacenada por el empleado es propiedad exclusiva de la Universidad UNIARIES.
2. La Universidad UNIARIES no se hace responsable por daños causados provenientes de sus empleados a la información o activos de procesamiento, propiedad de la institución, daños efectuados desde sus instalaciones de red a equipos informáticos externos.
Capacitación de usuarios
1. Los usuarios de la red institucional, serán capacitados en cuestiones de seguridad de la información, según sea el área operativa y en función de las actividades que se desarrollan.
2. Se deben tomar todas las medidas de seguridad necesarias, antes de realizar una capacitación a personal ajeno o propio de la institución, siempre y cuando se vea implicada la utilización de los servicios de red o se exponga material de importancia considerable para la entidad.
Respuestas a incidentes y anomalías de seguridad 1. Se realizarán respaldos de la información, diariamente, para los activos de mayor importancia o críticos, un respaldo semanal que se utilizará en caso de fallas y un tercer respaldo efectuado mensualmente, el cuál deberá ser guardado y evitar su utilización a menos que sea estrictamente necesaria
2. Las solicitudes de asistencia, efectuados por dos o más empleados o áreas de proceso, con problemas en las estaciones de trabajo, deberá dárseles solución en el menor tiempo posible.
3. El gestor de seguridad deberá elaborar un documento donde deba explicar los pasos que se deberán seguir en situaciones contraproducentes a la seguridad y explicarlo detalladamente en una reunión ante el personal de
UNIARIES
18 de 37
respuesta a incidentes.
4. Cualquier situación o contrariedad en la seguridad deberá ser documentada, posterior revisión de los registros o Log de sistemas con el objetivo de verificar la situación y dar una respuesta concreta y acorde al problema.
Seguridad lógica
Control de accesos:
1. El Gestor de Seguridad proporcionará toda la documentación necesaria para
agilizar la utilización de los sistemas, referente a formularios, guías, controles,
etc.
2. Cualquier petición de información, servicio o acción proveniente de un
determinado usuario o departamento, se deberá efectuar siguiendo los canales
de gestión formalmente establecidos por la institución, para realizar dicha
acción; no dar seguimiento a esta política implica:
Negar por completo la ejecución de la acción o servicio.
Informe completo dirigido a comité de seguridad, mismo será realizado por la persona o el departamento al cual le es solicitado el servicio.
Sanciones aplicables por autoridades de nivel superior, previamente discutidas con el comité de seguridad.
Administración del acceso de usuarios
1. Son usuarios de la red institucional los docentes de planta, administrativos, secretarias, alumnos, y toda aquella persona, que tenga contacto directo como empleado y utilice los servicios de la red institucional de la Universidad UNIARIES.
2. Se asignará una cuenta de acceso a los sistemas de la intranet, a todo usuario de la red institucional, siempre y cuando se identifique previamente el objetivo de su uso o permisos explícitos a los que este accederá, junto a la información personal del usuario.
3. Los alumnos, son usuarios limitados, estos tendrán acceso únicamente a los servicios de Internet y recursos compartidos de la red institucional, cualquier cambio sobre los servicios a los que estos tengan acceso, será motivo de revisión y modificación de esta política, adecuándose a las nuevas especificaciones
4. Se consideran usuarios externos o terceros, cualquier entidad o persona natural, que tenga una relación con la institución fuera del ámbito de empleado/estudiante y siempre que tenga una vinculación con los servicios de la red institucional.
5. El acceso a la red por parte de terceros es estrictamente restrictivo y
UNIARIES
19 de 37
permisible únicamente mediante firma impresa y documentación de aceptación de confidencialidad hacia la institución y comprometido con el uso exclusivo del servicio para el que le fue provisto el acceso.
6. No se proporcionará el servicio solicitado por un usuario, departamento o facultad, sin antes haberse completado todos los procedimientos de autorización necesarios para su ejecución.
7. Se creará una cuenta temporal del usuario, en caso de olvido o extravío de información de la cuenta personal, para brindarse al usuario que lo necesite, siempre y cuando se muestre un documento de identidad personal.
8. La longitud mínima de caracteres permisibles en una contraseña se establece en 5 caracteres, los cuales tendrán una combinación alfanumérica.
9. La longitud máxima de caracteres permisibles en una contraseña se establece en 12 caracteres.
Responsabilidades del usuario 1. El usuario es responsable exclusivo de mantener a salvo su contraseña. 2. El usuario será responsable del uso que haga de su cuenta de acceso a los sistemas o servicios. 3. Se debe evitar el guardar o escribir las contraseñas en cualquier papel o superficie o dejar constancia de ellas, a menos que ésta se guardada en un lugar seguro.
4. El usuario es responsable de eliminar cualquier rastro de documentos proporcionados por el Gestor de Seguridad, que contenga información que pueda facilitar a un tercero la obtención de la información de su cuenta de usuario.
5. El usuario es responsable de evitar la práctica de establecer contraseñas relacionadas con alguna característica de su persona o relacionado con su vida o la de parientes, como fechas de cumpleaños o alguna otra fecha importante.
6. El usuario deberá proteger su equipo de trabajo, evitando que personas ajenas a su cargo puedan acceder a la información almacenada en el, mediante una herramienta de bloqueo temporal (protector de pantalla), protegida por una contraseña, el cual deberá activarse en el preciso momento en que el usuario deba ausentarse.
7. Cualquier usuario que encuentre un hueco o falla de seguridad en los sistemas informáticos de la institución, está obligado a reportarlo a los administradores del sistema o gestor de seguridad.
Uso de correo electrónico:
1. El servicio de correo electrónico, es un servicio gratuito, y no garantizable, se debe hacer uso de el, acatando todas las disposiciones de seguridad diseñadas para su utilización y evitar el uso o introducción de software malicioso a la red institucional.
UNIARIES
20 de 37
2. El correo electrónico es de uso exclusivo, para los empleados de la Universidad UNIARIES y accionistas de la misma. 3. Todo uso indebido del servicio de correo electrónico, será motivo de suspensión temporal de su cuenta de correo o según sea necesario la eliminación total de la cuenta dentro del sistema.
4. El usuario será responsable de la información que sea enviada con su cuenta. 5. El comité de seguridad, se reservará el derecho de monitorear las cuentas de usuarios, que presenten un comportamiento sospechoso para la seguridad de la red institucional.
6. El usuario es responsable de respetar la ley de derechos de autor, no abusando de este medio para distribuir de forma ilegal licencias de software o reproducir información sin conocimiento del autor.
Seguridad en acceso de terceros
1. El acceso de terceros será concedido siempre y cuando se cumplan con los requisitos de seguridad establecidos en el contrato de trabajo o asociación para el servicio, el cual deberá estar firmado por las entidades involucradas en el mismo.
2. Todo usuario externo, estará facultado a utilizar única y exclusivamente el servicio que le fue asignado, y acatar las responsabilidades que devengan de la utilización del mismo.
3. Los servicios accedidos por terceros acataran las disposiciones generales de acceso a servicios por el personal interno de la institución, además de los requisitos expuestos en su contrato con la universidad.
Control de acceso a la red Unidad de Informática y afines a ella.
1. El acceso a la red interna, se permitirá siempre y cuando se cumpla con los requisitos de seguridad necesarios, y éste será permitido mediante un mecanismo de autenticación.
2. Se debe eliminar cualquier acceso a la red sin previa autenticación o validación del usuario o el equipo implicado en el proceso. 3. Cualquier alteración del tráfico entrante o saliente a través de los dispositivos de acceso a la red, será motivo de verificación y tendrá como resultado directo la realización de una auditoria de seguridad.
4. El departamento de informática deberá emplear dispositivos de red para el bloqueo, enrutamiento, o el filtrado de tráfico evitando el acceso o flujo de información, no autorizada hacia la red interna o desde la red interna hacia el exterior.
UNIARIES
21 de 37
5. Los accesos a la red interna o local desde una red externa de la institución , se harán mediante un mecanismo de autenticación seguro y el trafico entre ambas redes o sistemas será cifrado
6. Se registrara todo acceso a los dispositivos de red, mediante archivos de registro o Log, de los dispositivos que provean estos accesos. 7. Se efectuara una revisión de Log de los dispositivos de acceso a la red en un tiempo máximo de 48 horas. Control de acceso al sistema operativo
1. Se deshabilitarán las cuentas creadas por ciertas aplicaciones con privilegios de sistema, (cuentas del servidor de aplicaciones, cuentas de herramientas de auditoría, etc.) evitando que estas corran sus servicios con privilegios nocivos para la seguridad del sistema.
2. Al terminar una sesión de trabajo en las estaciones, los operadores o cualquier otro usuario, evitara dejar encendido el equipo, pudiendo proporcionar un entorno de utilización de la estación de trabajo.
Servidores 3. El acceso a la configuración del sistema operativo de los servidores, es únicamente permitido al usuario administrador. 4. Los administradores de servicios, tendrán acceso único a los módulos de configuración de las respectivas aplicaciones que tienen bajo su responsabilidad 5. Todo servicio instalado en los servidores, correrá o será ejecutado bajo cuentas restrictivas, en ningún momento se obviaran situaciones de servicios corriendo con cuentas administrativas, estos privilegios tendrán que ser eliminados o configurados correctamente.
Control de acceso a las aplicaciones
1. Las aplicaciones deberán estar correctamente diseñadas, con funciones de acceso especificas para cada usuario del entorno operativo de la aplicación, las prestaciones de la aplicación.
2. Se deberá definir y estructurar el nivel de permisos sobre las aplicaciones, de acuerdo al nivel de ejecución o criticidad de las aplicaciones o archivos, y haciendo especial énfasis en los derechos de escritura, lectura, modificación, ejecución o borrado de información.
3. Se deberán efectuar revisiones o pruebas minuciosas sobre las aplicaciones, de forma aleatoria, sobre distintas fases, antes de ponerlas en un entorno operativo real, con el objetivo de evitar redundancias en las salidas de información u otras anomalías.
4. Las salidas de información, de las aplicaciones, en un entorno de red, deberán ser documentadas, y especificar la terminal por la que deberá
UNIARIES
22 de 37
ejecutarse exclusivamente la salida de información.
5. Se deberá llevar un registro mediante Log de aplicaciones, sobre las actividades de los usuarios en cuanto a accesos, errores de conexión, horas de conexión, intentos fallidos, terminal desde donde conecta, entre otros, de manera que proporcionen información relevante y revisable posteriormente.
Monitoreo del acceso y uso del sistema
1. Se registrará y archivará toda actividad, procedente del uso de las aplicaciones, sistemas de información y uso de la red, mediante archivos de Log.
2. Los archivos de Log, almacenarán nombres de usuarios, nivel de privilegios, IP de terminal, fecha y hora de acceso o utilización, actividad desarrollada y aplicación implicada en el proceso,
3. Se efectuará una copia automática de los archivos de Log, y se conducirá o enviara hacia otra terminal o servidor, evitando se guarde la copia localmente donde se produce.
Gestión de operaciones y comunicaciones Responsabilidades y procedimientos operativos 1. El personal administrador de algún servicio, es el responsable absoluto por mantener en óptimo funcionamiento ese servicio, coordinar esfuerzos con el gestor de seguridad, para fomentar una cultura de administración segura y servios óptimos.
2. Las configuraciones y puesta en marcha de servicios, son normaas por el departamento de informática, y el comité de seguridad.
3. El personal responsable de los servicios, llevará archivos de registro de fallas de seguridad del sistema, revisara, estos archivos de forma frecuente y en especial después de ocurrida una falla.
Protección contra software malicioso
1. Se adquirirá y utilizará software únicamente de fuentes confiables.
2. En caso de ser necesaria la adquisición de software de fuentes no
confiables, este se adquirirá en código fuente
3. Los servidores, al igual que las estaciones de trabajo, tendrán instalado y configurado correctamente software antivirus actualizable y activada la protección en tiempo real.
UNIARIES
23 de 37
Mantenimiento
1. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de la unidad de informática, o del personal de soporte técnico.
2. El cambio de archivos de sistema, no es permitido, sin una justificación aceptable y verificable por el gestor de seguridad. 3. Se llevará un registro global del mantenimiento efectuado sobre los equipos y cambios realizados desde su instalación. Manejo y seguridad de medios de almacenamiento 1. Los medios de almacenamiento o copias de seguridad del sistema de archivos, o información de la entidad, serán etiquetados de acuerdo a la información que almacenan, detallando o haciendo alusión a su contenido.
2. Los medios de almacenamiento con información crítica o copias de respaldo deberán ser manipulados única y exclusivamente por el personal encargado de hacer los respaldos y el personal encargado de su salvaguarda.
3. Todo medio de almacenamiento con información crítica será guardado bajo llave en una caja especial a la cual tendrá acceso únicamente, el gestor de seguridad o la gerencia administrativa, esta caja no debería ser removible, una segunda copia será resguardada por un tercero.
4. Se llevará un control, en el que se especifiquen los medios de almacenamiento en los que se debe guardar información y su uso
Seguridad física
EGURIDAD FÍSICA
Seguridad física y ambiental
Seguridad de los equipos
1. El cableado de red, se instalará físicamente separado de cualquier otro tipo
de cables, llámese a estos de corriente o energía eléctrica, para evitar
interferencias.
2. Los servidores, sin importar al grupo al que estos pertenezcan, con problemas de hardware, deberán ser reparados localmente, de no cumplirse lo anterior, deberán ser retirados sus medios de almacenamiento.
3. Los equipos o activos críticos de información y proceso, deberán ubicarse en áreas aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por el gestor de seguridad y las personas responsables por esos activos, quienes deberán poseer su debida identificación.
UNIARIES
24 de 37
Controles generales
1. Las estaciones o terminales de trabajo, con procesamientos críticos no deben de contar con medios de almacenamientos extraíbles, que puedan facilitar el robo o manipulación de la información por terceros o personal que no deba tener acceso a esta información.
2. En ningún momento se deberá dejar información sensible de robo, manipulación o acceso visual, sin importar el medio en el que esta se encuentre, de forma que pueda ser alcanzada por terceros o personas que no deban tener acceso a esta información.
3. Deberá llevarse un control exhaustivo del mantenimiento preventivo y otro para el mantenimiento correctivo que se les haga a los equipos.
5. Sistema de Seguridad Informática
La entidad Uniaries contara con políticas restringible para los estudiantes,
empleados, usuarios y personal que no correspondan al área de administración
como a páginas web, a sitios no autorizados y permisos no correspondientes
para ellos.
Los administradores de la red y técnicos solo ellos podrán tener acceso al área
de teleinformatica y serán los únicos responsables de los dispositivos activos
tendrán un horario donde el área de teleinformatica estará vigilada,
monitorizada las 24 horas del día.
Se establecerá en la entidad políticas permisivas para estudiantes, empleados,
usuarios y personal administrativo de la entidad para no hacer mal uso de las
diferentes estaciones de trabajo y perder tiempo en cosas no correspondientes
para ellos.
5.1 Medios Humanos
La entidad Uniaries dispone con un personal altamente calificado para el
manejo, control, implementación, especialización en el área de la informática y
la seguridad de la red.
Juan Camilo Muñoz administrador de red y encargado de algunos
activos informáticos de la entidad
Alexander Henao administrador de la red y encargado de algunos
dispositivos activos de la entidad
UNIARIES
25 de 37
Vanessa Gomez administradora de red
Cristian camilo Sepulveda administrador de la red
Juan Camilo Restrepo administrador de red
Contamos con Alonso Cabrales presidente actual de la entidad.
Jose Luis Perales gerente de la entidad.
Carolina Velez es la Jefe de el área de recursos humanos
Alonso cabrales vela por el buen funcionamiento y eficacia de la entidad
disponiendo así de todos los administradores y empleados de la misma para
que cumplan sus respectivas labores.
Juan Camilo Muñoz además de que es el encargado de la red de la entidad
para que no se presente problemas de conectividad también es el encargado
de administrar algunos dispositivos activos tales como AP, swith este verifica a
diario que los servidores estén en correcto funcionamiento para el buen uso de
estos
Alexander Henao cumple con administrar la red para que no presente problema
alguno de conectividad, se encarga también de administrar varios de los
dispositivos de la entidad como lo son AP, swith y esta pendiente de que le
servidor de la entidad este en correcto funcionamiento para los diferentes
administradores de la red.
Vanessa Gómez además de velar por el buen funcionamiento de la red es la
encargada de administrar el firewall, el servicio de correo electrónico y el DNS
de la entidad. Se mantiene actualizada en el area de seguridad para mantener
el firewall en correcto funcionamiento y con los parches adecuados.
Cristian Camilo Sepulveda administrar la red adecuadamente para mantener en
funcionamiento la conectividad de la entidad además administra servicios tales
como Ftp y DNS y en la parte de seguridad administra el IDS aplicando
parches actualizaciones posibles para que tenga un buen funcionamiento.
Juan Camilo Restrepo vela por que la red se encuentre en un estado de
funcionamiento correcto además de esto administra e implementa el servicio de
proxy y maneja los sistemas operativos de la entidad.
Carolina Vélez persona clave para la entidad ya que cuenta con una alta
experiencia profesional de ella y del personal que la acompaña depende de
que la entidad fracase o sea un éxito. Ella es la encargada de que el personal
de la entidad se sienta en un ambiente motivador, también supervisa que los
cambios para la entidad sean planeados y coordinados para asegurar la
UNIARIES
26 de 37
productividad de la entidad y conlleva a mantener la integridad y socialización
de la misma.
José Luis Perales es el encargado de velar por la entidad para que tenga un
buen funcionamiento en todos sus aspectos el cuenta con el personal de la
entidad para que cumplan las distintas funciones en las áreas especificas.
5.2 Medios Técnicos
Los sistemas operativos que se implementaran en la entidad son Ubuntu,
centos y Windows XP cada cuenta de usuario cuenta con una contraseña
fuerte mayor a 8 dígitos y con caracteres especiales, las cuentas de los
servidores cuentan con una contraseña mayor a 12 dígitos y con caracteres
especiales al inicio y al final de la cuenta y no se permite la instalación de
software adicional por parte del usuario.
Los tipos de red que se utilizaran son LAN, WLAN, DMZ y WAN donde la LAN
tendrá acceso a la WAN y a la DMZ, la WAN tiene restricción hacia la LAN y
acceso algunos servicios de la DMZ, en la WLAN los usuarios se tendrán que
autenticar en el AP por medio de WPA2 y a la vez contra un servidor RADIUS.
La topología que se implementara será en forma de estrella.
Los servicios utilizados en la red interna de la entidad son el DNS, DHCP y
servidores de acceso público el correo electrónico, WEB y FTP en el cual
tendrá claves de acceso de 12 dígitos con caracteres especiales al inicio y al
final; el servidor de correo cuenta con seguridad TLS, SSL y SASL, el servidor
Web cuenta con seguridad TLS/SSL y nuestro servidor FTP con autenticación
de usuarios
El servidor proxy de la entidad cuenta con filtrar contenidos no deseados para
la misma y la optimización del ancho de banda.
El firewall tendrá el filtrado de paquetes donde se especificara la entrada de
tráfico que pasara a nuestra entidad
Se utilizara sniffers ya que este nos permitirá capturar todo el tráfico que
pasara por nuestra red también se utilizara pfsense que se une con el snort
para la perfecta administración y monitoreo de la red, el trafico de la red se
analizara máximo cada 48 horas por el administrador de red Cristian Camilo
Sepulveda uno de los encargados en el área de seguridad.
Utilizaremos un sistema de detección de intrusos en la red para así evitar
posibles ataques a la entidad.
UNIARIES
27 de 37
Los sistemas criptográficos empleados en la entidad son TLS/SSL para la
debida protección de los ficheros y datos.
5.3 Medidas y Procedimientos de Seguridad Informática
Solo tendrán acceso al área de teleinformatica las personas con acceso
autorizado como lo son los administradores de red y técnicos de la entidad.
Solo tendrán permisos de descargas de software y aplicaciones, pero no
tendrán permisos de instalación de software a no ser que le administrador se lo
permita. Solo los usuarios de la entidad tendrán los datos y ficheros
correspondientes más no información privada o permisos de administrador del
sistema.
Los usuarios tendrán acceso a sitios web como Facebook, youtube de 12 a 2
de la tarde, no tendrán acceso a sitios web pornográficos en el resto del día
podrán navegar en los diferentes sitios web.
Las áreas de tecnologías de información serán autorizadas y controladas las 24
horas del día
Los usuarios de la entidad como los estudiantes tendrán acceso a los sistemas
como invitado mas no como administrador, los estudiantes tendrán claves de 5
dígitos sin caracteres especiales. Para el personal administrativo de la entidad
la clave contara con más de 12 dígitos con caracteres especiales al inicio y al
final estas claves se actualizaran cada 20 días para una mayor seguridad y
para demás empleados de la entidad la clave contara con 8 dígitos con
caracteres especiales venciendo cada 20 días.
La información privada de la entidad se hace backup mensualmente para
garantizar un respaldo de la información.
La entidad cuenta con personal calificado para el mantenimiento y soporte
técnico de los activos, si los activos fuesen traslados o formateados por
equivocación contaremos con un backup o claves de alta seguridad que solo el
personal de la entidad podrán acceder a ellos para que la información no sea
divulgada, modificada por personal diferente a ella.
Los administradores de red tendrán que tener mucho cuidado con dejar
secciones de administración abiertas que perjudiquen la entidad como en
modificación, pérdida o divulgación de información valiosa para la entidad.
UNIARIES
28 de 37
5.3.1 De protección Física
5.3.1.1 A las Áreas con tecnologías instaladas
En esta especificaremos la protección que van a tener nuestros dispositivos
como lo son servidores, switchs, etc.
La seguridad que se le brindaran ha estos dispositivos van a ser las siguientes:
Van a estar en un lugar donde solo tendrán ingreso personas con autorización.
Y además solo podrán configurar y tener la autorización para manipular estos
activos de información.
5.3.1.2 Tecnologías de información
Esta consiste en no tener información a la vista para personas que no tengan
nada que ver con la entidad o con personal no autorizado para el área
específica. Además las claves constaran con caracteres especiales y será de
una longitud mínima de12 dígitos.
NOTA: Ninguna clave puede dejarse a la vista de ninguna persona
5.3.1.3 A los soportes de información
Debido a que los soportes de información son de vital importancia para la
organización, ya que permiten alojar Los sistemas operativos y aplicaciones
que son necesarias para la administración y operación del sistema. su Mayor
importancia Reside en que permiten almacenar la información producida y
manipulada por la Organización, la cual es necesaria para su correcto
funcionamiento esta información puede ser las Bases de datos, contactos,
manuales de equipos y aplicaciones entre otros.
Como sabemos el activo más importante para una organización es
precisamente la información y que esta información debe Cumplir con tres
principios fundamentales que son:
Integridad: que la información este completa y sea veraz (evitar corrupción de
datos)
Disponibilidad: que la información esté disponible para quien la necesite y
cuando lo necesite
Privacidad: acceso a la información solo al personal autorizado.
UNIARIES
29 de 37
Para que lo anteriormente mencionado se cumpla debemos de contar con
soportes de información, en este caso medios de almacenamiento como discos
duros, citas, medios extraíbles entre otros deben estar en óptimas Condiciones
para su correcto funcionamiento.
Con La finalidad de tener en buenas condiciones dichos medios se deben
tomar las siguientes medidas:
Tener plenamente identificados los equipos tanto a nivel físico como lógico
Identificar el personal encargado de dichos equipos
Hacer un mantenimiento periódico tanto a nivel de hardware como de software
llevar un seguimiento a los dispositivos y documentar los resultados de los chequeos
Destruir información sensible al desechar medios de almacenamiento
5.3.2 Técnicas o lógicas
Como sabemos los sistemas de información ofrecen grandes ventajas a las
organizaciones principalmente en el Campo de las telecomunicaciones que es
un proceso vital para cualquier compañía, debido a que gran parte de Procesos
que se dan dentro de la misma depende de las comunicaciones en uno u otro
sentido.
Ahora bien sabemos que las telecomunicaciones ayudan a agilizar los
procesos, y para lograr esto se valen de de Medios físicos (hardware) y Lógicos
(software), que funcionan en conjunto para formar una infraestructura de Red
que hace posible tener al interior de la organización en este caso servicios
como:
Correo electrónico: facilitar la comunicación tanto a nivel interno como externo
de la compañía.
Servidor FTP: que facilita el trabajo al interior de la compañía al compartir
información y recursos de manera Centralizada.
Motores de Bases de datos: usados para gestionar la información de usuarios,
empleados, contactos, y utilizada por algunos programas y utilidades para
almacenar información de control.
Servidor WEB: Con el fin de que la compañía pueda publicar sus productos y
servicios al exterior de una forma fácil y Rápida.
Como podemos ver los servicios anteriormente mencionados añaden
funcionalidad y contribuyen a que la compañía cumpla mejor sus funciones,
UNIARIES
30 de 37
también trae consigo Riesgos que deben aceptarse y tratarse para evitar que
se vea comprometida la seguridad de la información. Para reducir los Riesgos
se adoptaran medidas tanto físicas como lógicas.
Medidas Físicas
Los equipos activos de interconexión como switch, routers AP, y demás deberán estar en un cuarto seguro y con las condiciones necesarias para su correcto funcionamiento.
Las puertas de acceso a los cuartos de telecomunicación deberán estar diseñadas con estándares de seguridad requeridas para dichos cuartos
se definirá un plan de mantenimiento preventivo para mantener en correcto funcionamiento los dispositivos
los cuartos de telecomunicación no deberán estar cerca a tuberías de aguas y deben contar la ventilación adecuada
la energía suministrada a los equipos activos deberá ser regulada para evitar que las infatuaciones en la misma para evitar daños a los activos
Cualquier cambio de hardware tendrá ser informado y aproado por la dirección.
Medidas Lógicas
El acceso a estos dispositivos activos solo lo tendrá personal autorizado y en función del rol que desempeñe dentro la organización.
Los activos que brindan conectividad a nivel interno como externo no deberán contener contraseñas por defecto
Cualquier cambio en la configuración de los dispositivos deberá ser justificada y documentada con el fin de corregir errores en caso de presentarse
Se contara con un sistema de detección de intrusos ( IDS ) con el fin de detectar intrusión a la red interna
Se instalara un Firewall con la finalidad controlar el acceso desde internet a la red interna y viceversa.
También se contara con un proxy para filtrar el contenido al que se accede en internet desde la red local
No se permitirá la instalación de software en el los equipos por parte del usuario final
5.3.2.1 Identificación de usuarios
Después de haber definido medidas técnicas lógicas y físicas en cuanto a los
dispositivos y equipos de la entidad
Es de suma importancia que se definan las medidas y políticas para la
identificación de los usuarios ante el sistema para que estos puedan hacer uso
del mismo.
UNIARIES
31 de 37
A continuación se describen medidas a implementar.
Las cuentas de los usuarios serán otorgados por los administradores del sistema
El usuario deberá cambiar la contraseña cuando se autentique por primera vez en el sistema
La nueva contraseña ingresada por el usuario deberá ser mínimo de 8 caracteres y contener números o caracteres especiales.
Las contraseñas serán cambiadas periódicamente con el fin de evitar que personas ajenas a la institución y por el descuido el usuario hagan mal uso de las mismas.
Finalmente las cuentas de empleados que se retiren de la institución serán eliminadas del sistema para evitar que el mismo se vea comprometido por el uso mal intencionado de las mismas
5.3.2.2 Autenticación de usuarios
En la entidad cada empleado tiene una cuenta en su equipo en la que a cada uno se le asigna por primera vez la contraseña, cuando ingrese el sistema le pedirá un cambio de contraseña. Esta contraseña será utilizada para tener acceso a las aplicaciones que el empleado necesita, mas no le servirá para tener permisos de administrador. La contraseña no puede tener referencia a datos personales ni referentes a la entidad, debe ser mayor a 8 dígitos y tener caracteres especiales. No puede ser divulgada ni hacer un traspaso de ella. La contraseña se debe cambiar cada veinte días para garantizar de que otras personas no la intercepten y así no se pondrá en riesgo la integridad, disponibilidad y confidencialidad de la información.
5.3.2.3 Control de acceso a los activos y recursos En la entidad se cuenta con unos activos que tienes algunas restricciones como lo son Switch, AP, los servidores, las bases de datos y servicios como Correo, DHCP, Web, FTP, DNS, DHCP, Proxy y Firewall, el acceso para estos son contraseñas de carácter fuerte en las que consiste tener mas de 12 dígitos con un carácter especial al inicio y final, no tener referencia a la empresa ni datos personales de el responsable del activo. Los derechos y privilegios de acceso los otorgan los administradores de la red y responsables de los activos de la entidad que son Vanessa Gómez, Juan Camilo Muñoz, Cristian Camilo Sepúlveda, Alexander Henao y Camilo Restrepo. Los derechos y privilegios de acceso a los activos se le otorga a los responsables de cada uno de ellos y en cuanto las bases de datos, el presidente y gerente de la entidad también cuentan con ellos.
UNIARIES
32 de 37
Para otorgar derechos y privilegios de acceso solo se le dan a los responsables de cada activo y para suspenderlo tendrían que haber violado alguna política de la entidad o cambio de responsable.
5.3.2.4 Integridad de los ficheros y datos
Las medidas de seguridad implementados para los sistemas operativos es una contraseña de carácter fuerte y evitar que los empleados dejen las cuentas abiertas para evitar la fuga de la información. En cuanto las bases los usuarios necesitan autenticación y también se restringe los hosts ya que solo algunos pueden tener acceso. Las medidas que se implementaron para asegurar la integridad del software y la configuración de los medios técnicos evitar la descarga de software y aplicaciones, no dejar ingresar a personas que no este relacionadas con el área mencionada y asignar los permisos adecuados para la administración de los activos de la entidad. Los medios criptográficos empleados por la entidad son los SSL y TLS para la protección de ficheros y datos. Para la protección contra virus se implemento el antivirus Nod 32 y antispam, para proteger nuestra entidad de posibles explotaciones se cuenta con un IDS y un Firewall.
5.3.2.5 Auditoría y Alarmas En la entidad se implemento un IDS para detectar posibles intrusos a la red y poder tomar medidas para evitar ataques. También se cuenta con un FIREWALL que restringe el acceso a la LAN y DMZ de la entidad del lado de la WAN en cuanto las reglas establecidas y que se une con el IDS para que en el caso que detecte un intruso trabaje conjunto y cierren el puerto o el servicio. Se cuenta con un Proxy para optimizar el ancho de banda y filtrado de contenido. También utilizamos sniffers que nos permite capturar el tráfico de red de la
entidad para visualizar lo que está ocurriendo en ella.
5.3.3 Seguridad de operaciones
Identificación y control de las tecnologías en explotación, en particular aquellas
donde se procese información clasificada.
Las tecnologías más usadas en nuestra entidad son los servicios de red y
aplicaciones como lo son servicios unos de ellos son DNS y servicios de
correo los cuales estarán a disposición de cada vez que una persona integrante
de nuestra entidad los requiera utilizar.
UNIARIES
33 de 37
Control sobre la entrada y salida en la entidad de las tecnologías de
información (máquinas portátiles, periféricos, soportes, etc.).
Las medidas que se tomaran frente a este son:
No ingresar dispositivos sin previo registro.
Está prohibido el acceso de cámaras de vídeo o cámaras fotográficas a áreas
confidenciales o de solo personal autorizado
No dejar salir ningún tipo de dispositivos cuyo registro no se haya realizado
Si los dispositivos requieren de su salida y son propios a la entidad deben ser
reportados.
Analizar cada serial de equipos y verificarlos en la base de datos de activos de
la entidad.
Metodología establecida para las salvas de la información, especificando su
periodicidad, responsabilidades, cantidad de versiones, etc.)
Las metodologías implantadas en UNIARIES son el respaldo de backup para
guardar o almacenar la información y que esta misma se encuentre disponible
cuando se solicite su uso la responsabilidad de realizar este respaldo de
información es del sysadmin encargado. Es importante resaltar que estas
copias estén alojadas de forma segura en un lugar especial y cuyo acceso
controlado. Estas se realizaran mensualmente y el tiempo de vida será como
un ciclo lo cual vamos a tener en cuenta las ultimas copias de backup para no
eliminar información que es de un valor importante.
Acciones específicas durante las conexiones externas a la entidad
Durante conexiones a lugares que no son del área de nuestra entidad tenemos
que darle un grado de importancia alto pues es muy probable que haya una
fuga de información
Por esta razón es importante la capacitación al personal interno o advertencias
como:
Prohibido revelar contraseñas
Prohibido revelar datos
Prohibido entablar conversaciones con personas de otra entidad (competencia)
Prohibido subir o transferir información privada de la organización a sitios
públicos
UNIARIES
34 de 37
Está prohibido ingresar a sitios pornográficos, redes sociales, sitios de
mensajería instantánea como chat.
5.3.4 De recuperación ante contingencia
Como ya se ha visto anteriormente se han mencionado los riesgos que hay con
respecto al hardware, software y aplicaciones que usan los usuarios para
acceder a un sistema, de igual manera se consideraron las medidas necesarias
para reducir dichos riesgos. Pero adicional a estos riesgos hay otros que son
ajenos y no dependen de la intervención del hombre como son los fenómenos
naturales y para los cuales la organización de estar preparada en caso de que
se presentase.
Para afrontar dichos riegos la empresa debe contar con un plan de
recuperación que contemple las siguientes medidas:
Copias de seguridad de la información (backup) vital para el funcionamiento de la empresa en servidores externos a la organización con la debida protección
En lo posible contar con más de una sucursal para evitar la interrupción total del servicio prestado por la institución
Asignar roles específicos al personal encargado de ejecutar el plan de recuperación
El personal encargado de elaborar y aprobar el plan de recuperación debe estar plenamente identificado
Finalmente el plan de recuperación debe darse a conocer a todo el personal de la entidad
Las medidas anteriormente mencionadas ayudaran a la organización a llegar a
un punto de equilibrio de forma más rápida en caso de presentarse un desastre
de origen natural o provocado intencionalmente.
6 Anexos
6.1 Programas de seguridad informática
La entidad educativa UNIARIES con el fin de proteger la información o
anteriormente mencionados los activos informáticos decide instalar y modificar
la estructura de su organización con el fin de que esta a un grado mínimo de
exposición hacia posibles eventos que nos podría perjudicar seriamente. El
tiempo para esta modificación es realizado organizadamente con el fin de no
afectar la disponibilidad y el correcto funcionamiento de nuestra organización.
UNIARIES
35 de 37
No solo se modificara la estructura de esta si no que también se realizaran
capacitaciones. Se estará educando al personal de nuestra empresa en
cuestión de cómo saber manejar diferentes experiencias en el entorno de
trabajo como lo son las relaciones o el contacto con otra personas, se tendrá
en cuenta las medidas preventivas a la hora de relacionarnos con los demás y
de brindar información. Este personal no estará sometido a esta capacitación
simultáneamente si no que será implantada las conferencias y capacitaciones
solo por personal seleccionado para no para la productividad de este para no
suspender nuestros servicios.
La entidad también cuenta con un tiempo dedicado para realizar las distintas
pruebas de auditorías, testeo, inspección realizando tanto las distintas
auditorias como lo son internas o externas.
Estas pruebas serán realizadas por un auditor que será el encargado de
entregar los reportes y los análisis de todo lo que realizo en esta inspección y
lo cual sarán realizadas cada vez que se realice un cambio en nuestra entidad
o que se realice u cambio en nuestro sistema lógico aproximadamente cada 6
meses.
6.2 Listado de nominal de usuarios con acceso de alcance
global
Presidente: No tendrá restricciones a ninguna página de internet
Gerente: No tendrá restricción a ninguna página de internet.
Gestor de seguridad: No tendrá restricciones a ninguna página de internet
Unidad de informática: No tendrá ingreso ha paginas sociales, excepto ha msn.
Responsables de activos: No pueden ingresar ha paginas sociales.
Técnicos: Solo tendrán acceso a las páginas necesarias.
Maestros: No podrán ingresar a paginas sociales (excepto ha twitter).
Alumnado: Solo tendrán acceso a unas páginas sociales en unos horarios
específicos.
NOTA: Las páginas pornográficas van a tener restricciones para todas las
personas aquí mencionadas, las 24 horas.
UNIARIES
36 de 37
6.3 Registros
Finalmente es importante que todas las medidas y proceso realizados en la
organización en pro del Mejoramiento en cuanto a la seguridad y uso del
sistema estén bien documentados ya que son de gran utilidad Para solucionar
de manera más rápida y eficaz problemas que puedan presentarse
posteriormente.
A continuación se mencionan procesos de los cuales se debe tener
documentación exacta y actualizada constantemente:
Adquisición nueva de hardware y software
Cambios realizados en el sistema y procedimiento seguido
Mantenimiento preventivo u correctivo realizado a los equipos con fechas y procedimiento seguido
Traslado de equipos a otra ubicación
Incidentes de seguridad y medidas aplicadas para corregirlos
UNIARIES
37 de 37
COCLUSIONES
Con este trabajo los integrantes del grupo Aries lograron obtener conocimientos
necesarios sobre los temas tratados.
También creamos políticas de seguridad para los diferentes activos de nuestra
entidad, tanto tangibles como e intangibles.
Se especificaron los activos importantes de la entidad y además que función
cumplen cada uno de estos y con que seguridad fue implementada.
Además fueron delegados los diferentes roles que cumplen cada persona
dentro de la entidad, cada uno de ellos es encargado del activo
correspondiente dentro de la entidad.
Se especifico las políticas de seguridad que irán hacer implementadas en las
herramientas de seguridad perimetral tales como firewall, proxy, IDS y VPN