Retroalimentación Ejercicio 1 -Semana 2

Page 1

RETROALIMENTACIÓN EJERCICIO 1 – SEMANA 2

EJEMPLO APRENDIZ: Harold Aguirre Arcila Equipo (Protección Física): Alcance  Estas directrices se implementaran en toda la planta y a todas las sucursales de la empresa con vinculación a las áreas que interactúan con los equipos de cómputo. Objetivo  Prestar seguridad física a los equipos de cómputo de la empresa tanto de amenazas internas como de amenazas externas para así garantizar la confiabilidad de la información evitando su alteración o posible duplicación lo que conllevaría a graves consecuencias de seguridad para los clientes como para la empresa. Responsables  La seguridad de cada equipo recae principalmente sobre el personal al cual se le ha confiado este para su uso y trabajo, ya que la integridad física del equipo beneficia o perjudica su labor, además de tener seguridad privada y todo un sistema de monitoreo al servicio de la empresa para conservar sus recursos y activos fijos intactos. POLITICAS 1. Todos los equipos de cómputo tienen un responsable el que deberá velar por su buen uso. 2. Las áreas donde se tiene equipo de propósito general cuya misión es critica estarán sujetas a los requerimientos de la dirección o administración de la empresa. 3. Los accesos a las áreas críticas deben ser solo permitidos al personal autorizado por la dirección o administración de la empresa. 4. La dirección o la administración será la única que tendrá acceso a los demás equipos de cómputo que están unidos a la red sin ninguna restricción. 5. Considerando la gran importancia de la información que almacenan los equipos como los servidores de la empresa, las oficinas van a ser protegidas por medio de cámaras de seguridad ubicadas en lugares estratégicos, más puertas eléctricas que se abrirán desde adentro y que solo algunas personas (las más confiables) conservaran las llaves de acceso desde el exterior. Designed by Roymer Romero A. SENA Centro Comercio y Servicios – Regional Atlántico - 2013

CONTROL DE ACCESOS (TÉCNICAS O LÓGICAS): Alcances  Las siguientes políticas se implementaran a solo aquellas áreas de trabajo donde se tenga constante contacto con la información clasificada de la empresa que representen un riesgo para la misma. Objetivos  Minimizar la obtención de información privilegiada por personal no autorizado y no facilitar las actividades perjudiciales por parte del operario y/o usuario de la empresa. Responsables  El compromiso por parte de los técnicos en soporte y mantenimiento de los equipos debe ser total, la entrega y la honestidad de estos debe ser irrevocable para que las políticas aquí consignadas se manejen correctamente.

POLITICAS: 1. Cada usuario y/o operario tendrá una contraseña la cual será en determinados tiempos modificada. 2. La información que contengan los equipos de cómputo más relevante y que no sea necesaria para los procesos que lleva a cabo ese operario o usuario serán removidos del equipo como medida preventiva. 3. Se hará constante monitoreo a la información que maneja cada operario y su computador para así ir filtrando la información que este maneja y no permitir que se maneje información indebida en el área que no corresponde que podría ser utilizada con finalidades perversas para la empresa. 4. Solo el personal de mantenimiento podrá tener conocimiento de las claves de acceso a los computadores de la empresa o de un área en especial, lo que le atribuye una gran responsabilidad a estas personas. 5. Se creara una relación muy sincera tanto hasta de confidencialidad entre los trabajadores para así detectar los posibles malos usos de información clasificada entre área y área de trabajo. 6. Restringir los permisos al personal que no pertenezcan a estas áreas de trabajo solo en las condiciones excepcionales que consideren la administración y/o la dirección de la empresa. Designed by Roymer Romero A. SENA Centro Comercio y Servicios – Regional Atlántico - 2013

UTILIZACIÓN DE LOS RECURSOS DE LA RED (ACCESO A LOS ACTIVOS Y RECURSOS): Alcances  Todo el personal asignado a las tareas de oficina, ya que son los mas relacionados con la recepción y emisión de información que se debe prevenir de ser alterada, extraviada u omitida, lo que los hace el foco de las presentes políticas dirigidas a la utilización de los recursos de la red. Objetivos  Garantizar el mejor flujo posible de información explotando de la mejor forma las capacidades que nos ofrece el sistema de redes y reduciendo lo máximo posible los errores humanos para así conseguir la confiabilidad, eficacia y rapidez en el proceso de comunicación. Responsables  La responsabilidad de la correcta implementación de estas políticas es muy general (para los oficinistas) pero hay personal que tiene un grado mayor de responsabilidad como son el comité (se podría decir así) de formación y sensibilización, por el rol de difusión que tienen en cada una de sus áreas de trabajo.

POLITICAS 1. Invalidar las opciones de ingreso por parte de otros usuarios de la empresa a la red por medio de sus equipos permitiendo ingresar a bases de datos y software con ciertos privilegios y poder perjudicar considerablemente la empresa. 2. Codificar de maneras diferentes el acceso a los servidores y sistemas que puedan arriesgar la integridad de la información. 3. Crear un grupo de seguridad compuesto por un representante de cada área de trabajo para impartir capacitaciones acerca del manejo de la comunicación de la empresa solo para darle un manejo óptimo a toda la infraestructura de la red. 4. Instalación de antispyware y cortafuegos, mas la constante supervisión de los sistemas de comunicación para coaptar a posibles infiltrados en el sistema por parte de un cuerpo especializado en seguridad informática de la empresa.

Designed by Roymer Romero A. SENA Centro Comercio y Servicios – Regional Atlántico - 2013

SOFTWARE (INTEGRIDAD DE PROGRAMAS, FICHEROS Y DATOS): Alcances  Todo el personal asignado a las tareas de oficina, ya que son los directamente afectados si llegara a suceder algo con alguno de los software que utilizan para sus diversos procesos. Objetivo  Garantizar el óptimo rendimiento de los softwares de la empresa vitales para sus operaciones y funciones tanto al interior, como los ofrecidos. Responsabilidad  El compromiso por parte de los técnicos en soporte y mantenimiento de los equipos debe ser total, la entrega y la honestidad de estos debe ser irrevocable para que las políticas aquí consignadas se implementen correctamente.

POLITICAS 1. 2. 3. 4.

Restricción de ingreso a determinados equipos por medio de la red. Contraseñas para el ingreso a los equipos. Minimización de privilegios que el sistema pudiese brindar. Manejar pocos responsables que administren las contraseñas para así aumentar el peso de su responsabilidad. 5. Mantener actualizado el sistema de antivirus y antispyware. 6. Hacer constantes copias de seguridad de la información. 7. Obtener las últimas versiones estables de los programas utilizados en la empresa.

Designed by Roymer Romero A. SENA Centro Comercio y Servicios – Regional Atlántico - 2013

SUPERVISIÓN Y EVALUACIÓN (AUDITORIAS Y ALARMAS) Alcance  Todos los campos de trabajo puesto que de cada uno se elegirá uno para tener una persona con los suficientes criterios de evaluación para dar un dictamen de la evolución o por el contrario del retroceso en la practica de las políticas. Objetivo  Alcanzar la evaluación más profunda posible acerca de cuales son los problemas que pueden estar presentando alguna de las áreas implicadas con el manejo de la información y la vulnerabilidad de la empresa frente a ese tipo de información. Responsables  Las directivas, los representantes de cada área de trabajo que se considere que deba pertenecer al grupo trabajo.

POLITICAS 1. Se creara un grupo de trabajo interdisciplinario para bridar auditoria a las diferentes áreas de trabajo de la empresa, para así periódicamente hacer evaluaciones y si es necesario crear nuevas políticas que den respuestas a los inconvenientes que se presentasen en sus respectivas áreas. 2. Dar informe extraordinario si es el caso de alguna alteración de seguridad sin importar el área de trabajo que sea, si se ha evaluado su pertinencia para prestarle atención y dar pronta solución. 3. Dar apoyo entre áreas para la implementación de las políticas y su posterior evaluación. 4. Concebir la mejor metodología para la corrección de algún percance que tenga que ver con el entendimiento de las políticas y/o su implementación.

Designed by Roymer Romero A. SENA Centro Comercio y Servicios – Regional Atlántico - 2013

EJEMPLO APRENDIZ: Juan Carlos Gutiérrez Gutiérrez Tabla de Contenido 1.

Introducción

2.

Políticas de Seguridad PSI a.

b.

c.

d.

Equipo (Protección física) I.

Alcance

II.

Objetivos de la política

III.

Responsabilidades

IV.

PSI

Control de acceso (Técnicas ó lógicas) I.

Alcance

II.

Objetivos de la política

III.

Responsabilidades

IV.

PSI

Utilización de recursos de red (Acceso a los activos y recursos) I.

Alcance

II.

Objetivos de la política

III.

Responsabilidades

IV.

PSI

Software (Integridad aplicaciones, ficheros y datos) I.

Alcance

II.

Objetivos de la política

III.

Responsabilidades

IV.

PSI Designed by Roymer Romero A. SENA Centro Comercio y Servicios – Regional Atlántico - 2013

e.

Supervisión y evaluación (Auditoria y alarmas) I.

Alcance

II.

Objetivos de la política

III.

Responsabilidades

IV.

PSI

3.

Sanciones

1.

INTRODUCCIÓN

La falta de políticas y procedimientos en seguridad es uno de los problemas más graves que confrontan las empresas hoy día en lo que se refiere a la protección de sus activos de información frente a peligros externos e internos. Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos.

Designed by Roymer Romero A. SENA Centro Comercio y Servicios – Regional Atlántico - 2013

2.

Políticas de seguridad PSI

a.

Equipo (Protección física)

I.

Alcance

Las políticas de seguridad de la información, en este ámbito deben de ser conocidas y cumplidas por todos los empleados de “En-Core” sin importar su rol en la entidad. II.

Objetivos de la política

La presente Política de Seguridad de la Información está establecida con el objetivo de asignar las estaciones de trabajo a los usuarios con los menos privilegios posibles tanto física como lógicamente, previniendo algún tipo de riesgo que pueda ocasionar una estación con acceso totales a los medios y sistema. III.

Responsabilidades

Todo empleado con vínculo laboral será responsable de lo que suceda en su estación de trabajo sea cual sea su rol en la entidad. El área de informática, será responsable de que las estaciones de trabajo lleguen a su destino final, cumpliendo todos los requisitos de la PSI IV.

PSI

-

Protección con password para el ingreso a la configuración de la Bios

-

Bloqueo de puertos y medios magnéticos por Bios

-

Proteger el acceso al hardware interno de los equipos de computo

Designed by Roymer Romero A. SENA Centro Comercio y Servicios – Regional Atlántico - 2013

b.

Control de acceso (Técnicas o lógicas)

I.

Alcance

Las políticas de seguridad de la información, en este ámbito deben de ser conocidas y cumplidas por todos los empleados de “En-Core” sin importar su rol en la entidad. Exceptuando los administradores de la infraestructura. II.

Objetivos de la política

Restringir total ó parcialmente el acceso físico y logico a dispositivos importantes en nuestra red, tales como: servidores, router, switches, firewall, bases de datos, vpn, etc. Solo los administradores de la infraestructura contaran con acceso total a estos equipos exceptuando la base de datos, que solo podrá será accedida por el gerente de informática y el director de desarrollo. III.

Responsabilidades

El área responsable de cumplir esta norma a cabalidad, es el área de informática, quienes asignaran los roles necesarios según su cargo, de igual forma se auditora cualquier cambio realizado en cualquiera de estos. IV.

PSI

-

Crear usuarios de acceso a la red, según sea su rol dentro de la entidad

-

Bloqueo de cuenta al 5 intento erróneo de contraseña

-

Configurar contraseñas seguras a todos los equipos sensibles y bases de datos

Implementar sistemas biométricos para controlar y auditar el ingreso a los cuartos de comunicaciones (centros de cómputos) tanto en la sede principal como en las sucursales Asegurar la conexión por vpn con listas de control de acceso en los firewall de perímetro

Designed by Roymer Romero A. SENA Centro Comercio y Servicios – Regional Atlántico - 2013

c.

Utilización de recursos de la red (Acceso a los activos y recursos)

I.

Alcance

Las políticas de seguridad de la información, en este ámbito deben de ser conocidas y cumplidas por todos los empleados de “En-Core” sin importar su rol en la entidad. Exceptuando los administradores de la infraestructura. II.

Objetivos de la política

El objetivo de esta normativa es garantizar la calidad de los servicios informáticos y de comunicaciones y regular el uso de los mismos. Su ámbito de aplicación alcanza a todos los miembros de la entidad III.

Responsabilidades

Todo empleado con vínculo laboral será responsable de lo que suceda en su estación de trabajo sea cual sea su rol en la entidad. El área de informática, Velara y monitoreara el buen uso de los recursos de red, cualquier anomalía es causante de sanción. IV.

PSI

Restringir el envió y recepción de correos que sean ajenos a la entidad, exceptuando aquellos empleados que por su cargo, deben tener constante comunicación con proveedores, aliados, etc -

Restringir a máximo 3MB para el envió y recepción de correos internos

Restringir la navegación en internet, bloqueando paginas de pornografía, juegos, redes sociales, correos gratuitos, música, videos, chat, programas p2p -

Proteger el acceso al hardware interno de los equipos de computo

Restringir el acceso a medios magnéticos, a demás de bloquear estos puertos por la Bios, se controlara por medio del software DLP (Data Loss Prevention), donde se bloqueara cualquier intento de uso y este automáticamente enviara notificación a los administradores. Los empleados que tienen acceso a estos recursos, el DLP le auditara todo lo que sea movido, copiado, grabado en estos dispositivos. -

Bloqueo de la ejecución de cualquier aplicación desde un rol no permitido

-

Bloqueo de ejecución de procesos e ingreso al registro del sistema operativo Designed by Roymer Romero A. SENA Centro Comercio y Servicios – Regional Atlántico - 2013

d.

Software (Integridad aplicaciones, ficheros y datos)

I.

Alcance

Las políticas de seguridad de la información, en este ámbito deben de ser conocidas y cumplidas por todos los empleados de “En-Core” sin importar su rol en la entidad. Exceptuando los administradores de la infraestructura. II.

Objetivos de la política

Garantizar la integridad, confidencialidad, autenticidad y consistencia de la información y de nuestras aplicaciones, garantizando la calidad del servicio tanto interno como externo. III.

Responsabilidades

Todo empleado con vínculo laboral será responsable de lo que suceda en su estación de trabajo sea cual sea su rol en la entidad. El área de informática es el responsable de garantizar la integridad, confidencialidad, autenticidad y consistencia de la información y de nuestras aplicaciones IV.

PSI

Controlar el acceso a la base de datos, solo podrán acceder a ella, el gerente de informática y el director de desarrollo -

Restringir la ejecución de procesos e ingreso al registro del sistema operativo

Mantener el acceso a recursos compartidos a solo los usuarios que se le tiene permitido usarla -

La instalación de software solo se podrá realizar por personal de Informática

Cada usuario debe realizar su backup periódicamente llevando el respaldo a un servidor de archivos previamente configurado para accederlo solo y exclusivamente a la carpeta de cada usuario.

Designed by Roymer Romero A. SENA Centro Comercio y Servicios – Regional Atlántico - 2013

e.

Supervisión y evaluación (Auditoria y alarmas)

I.

Alcance

Las políticas de seguridad de la información, en este ámbito deben de ser conocidas y cumplidas por las personas administradoras de la infraestructura, garantizando el buen uso de nuestra red II.

Objetivos de la política

El objetivo de estas políticas, es velar por el buen funcionamiento de nuestra red, optimizar recursos, garantizar accesos a personas autorizadas, actuar proactivamente ante posibles eventualidades, cumplir normativas, etc. III.

Responsabilidades

Todo empleado con vínculo laboral será responsable de lo que suceda en su estación de trabajo sea cual sea su rol en la entidad. El área de informática será responsable de auditar el buen uso de nuestros recursos, configurar notificaciones para actuar proactivamente IV.

PSI

-

Auditar el uso de los medios magnéticos por medio de DLP

Todo dispositivo sensible, debe tener configurado notificaciones SMTP donde notificara vía mail y celular sobre por cualquier eventualidad al grupo de administradores de la red.

Designed by Roymer Romero A. SENA Centro Comercio y Servicios – Regional Atlántico - 2013

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.