lunes, 4 de noviembre de 2013



1.2. Elabora el plan de seguridad en computo acorde con los riesgos determinados y estándares de protección.

A) Analiza Modelos Y Buenas prácticas de Seguridad Informática

ITIL

La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL, es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.









COBIT

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.

El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.




ISM 3



Pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).
 
B) Analiza Estándares Internacionales de Seguridad Informática.

BS17799

BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información.

El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.

 

SERIE ISO 27000

En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.
-ISO27001

La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.

El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.

-ISO 27002

Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005

-ISO 20000

La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.

 

C) Definición Del Plan De Seguridad Informático

 
Descripción de los principales elementos de protección


Los tres elementos principales a proteger en cualquier sistema informático son el software, el hardware y los datos.
Por hardware entendemos el conjunto formado por todos los elementos físicos de un sistema informático, como CPUs, terminales, cableado, medios de almacenamiento secundario (cintas, CD-ROMs, diskettes...) o tarjetas de red.
Por software entendemos el conjunto de programas lógicos que hacen funcional al hardware, tanto sistemas operativos como aplicaciones.
Por datos el conjunto de información lógica que manejan el software y el hardware, como por ejemplo paquetes que circulan por un cable de red o entradas de una base de datos.
 
Definición de Las Metas De Seguridad A Alcanzar En Un Periodo De Tiempo Establecido


Se refiere a la protección de sus activos de información frente a peligros externos e internos. Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos.

 
Definición De Políticas
De Acceso Físico A Equipos


Todos los sitios en donde se encuentren sistemas de procesamiento informático o de almacenamiento, deben ser protegidos de accesos no autorizados, utilizando tecnologías de
autenticación, monitoreo y registro de entradas y salidas.

-         
 

De acceso Lógico A Equipos


El control de acceso lógico a sistemas y aplicaciones es la primera barrera a superar por un atacante para el acceso no autorizado a un equipo y a la información que contiene. La utilización de métodos de seguridad combinados como la autenticación de 2 factores, la biometría y las técnicas de OTP (One Time Password) y SSO (Single Sign On) permiten reducir la probabilidad de éxito en los intentos de acceso por personal no autorizado. Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su identificador de usuario (userID) y contraseña (password) necesarios para acceder a la información y a la infraestructura tecnológica, por lo cual deberá mantenerlo de forma confidencial.

 
-Para La Creación De Cuentas De Usuarios

Todas aquellas cuentas que sean utilizadas por los usuarios para acceder a los diferentes sistemas de información. Estas cuentas permiten el acceso para consulta, modificación, actualización o eliminación de información, y se encuentran reguladas por los roles de usuario del Sistema.







De Protección De Red (Firewall)



Las políticas del cortafuegos le permiten bloquear o permitir determinados tipos de tráfico de red no especificados en una política de excepciones. Una política también define que funciones del cortafuegos se activan o desactivan.

*Paranoica: se controla todo, no se permite nada
*Prudente: se controla y se conoce todo lo que sucede.
*Permisiva: se controla pero se permite demasiado.
*Promiscua: no se controla (o se hace poco) y se permite todo.


-Para La Gestión De Actualizaciones

Programa la instalación de las actualizaciones en los equipos de despacho que se encuentren en el dominio Windows. De esta forma el usuario puede desentenderse de la instalación de las actualizaciones ya que todas ellas son de obligada instalación para mantener una seguridad homogénea en los equipos de despacho.

 

De Control De Cambios

Debe contar en todo momento con un inventario actualizado del software de su propiedad.Todas las aplicaciones se clasificarán en una de las siguientes tres categorías: Misión Crítica (Aplicaciones primordiales para el funcionamiento del negocio), Prioritaria (Aplicaciones complementarias a las de misión crítica) y Requerida(Aplicaciones utilizadas para la administración, operación y control institucionales). Para las de misión crítica y prioritaria deberá permanecer una copia actualizada y su documentación técnica respectiva, como mínimo en un sitio alterno y seguro de custodia.

 

De Almacenamiento

 

·         Al enviar información, se realiza una copia temporal de la información de forma rutinaria para prevenir la pérdida accidental de información debido a fallas en equipos o a error humano.

·         Mantiene activa la información en las bases de datos de registro de usuarios.

·         Cualquier información que hayamos copiado puede permanecer en almacenamiento de respaldo por un tiempo, luego de la solicitud de eliminación. Este puede ser el caso incluso si no existe información de la cuenta en las bases de datos de usuarios activas.




De Respaldo
1. El uso y aprovechamiento del Servidor de Respaldo será destinado únicamente para apoyar las funciones.
2. Queda estrictamente prohibido almacenar, en las carpetas asignadas en el Servidor de Respaldos, archivos de juegos, música, reproductores de música y/o video, programas de cómputo sin licencia y cualquier otra información ajena a la Institución.
3. Invariablemente, el Enlace, debe de registrar los respaldos de información efectuados en el formato de Control de Respaldos, con base al instructivo de llenado previamente definido y proporcionado por la Dirección de Informática.
4. El Enlace debe archivar los formatos de Control de Respaldos en una carpeta especial para tales efectos, conforme a los lineamientos definidos por la Dirección de Informática.
5. En caso de requerir una copia de seguridad de la información resguardada en la Bóveda de Seguridad.
6. Invariablemente la información a respaldar debe estar compactada y debidamente identificada; así mismo, deberá ser registrada en el Control de Respaldos, de acuerdo a lo establecido por la Dirección de Informática.

D) Establece Métricas Y Mecanismos Para La Evaluación De Los Controles Implementados

Define indicadores para evaluar la
 eficiencia de los controles implementados

Los controles implementados a través de la utilización de palabras clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida la utilidad de esta técnica.

El control de gestión se centra en la identificación de los factores claves de éxito de cada proceso.Esto implica que sus miembros identifiquen con claridad, lo que sus clientes, ya sean internos o externos, esperan de ello


Oportunidad
Calidad
Cumplimiento, etc.

 
Define el modo en que los indicadores sean medidos

Un sistema que entregue información regular sobre la calidad de la gestión posibilitará mayor eficiencia en la asignación de recursos físicos, humanos y financieros, proporcionará una base de seguridad y confianza en su desempeño al conjunto de los funcionario implicados en su implementación -en la medida que delimita mejor el campo de sus atribuciones y deberes-, incrementará la autonomía y responsabilidad de los directivos -en tanto cuenten con bases sustentables de información para la toma de decisiones, y ayudará a mejorar la coordinación con los demás niveles del aparato público.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)