1.2 PLA DE SEGURIDAD
A) ANALIZA MODELOS Y PRACTICAS DE SEGURIDAD DE INFORMATICA
-ITIL
¢Propone el establecimiento de
estándares que nos ayuden en el control,
operación y administración de
los recursos.
¢Plantea hacer una revisión y
reestructuración de los procesos existentes en caso de que estos lo necesiten.
¢Otra de las cosas que propone es
que para cada actividad que se realice se debe de hacer la documentación
pertinente (con fechas de cambio y modificaciones), ya que esta puede ser de
gran utilidad para otros miembros del área.
-Control
Objectives for Information
and related Technology (COBIT)
ESTANDAR DE SEGURIDAD BS 17799
BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un procesopara evaluar, implementar, mantener y administrar la seguridad de la información.
Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control ycontroles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO
Objetivo
El objetivo es proporcionar una base común para desarrollar normasde seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.
Alcance
-Aumento de laseguridad efectiva de los
Sistemas de información.
- Correcta planificación y gestión de la
seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de
auditoríainterna.
- Incremento de los niveles de confianza
de los clientes y socios de negocios.
- Aumento del valor comercial y mejora
de la imagen de la organización.
Enfoque
* Responsabilidad de ladirección
* Enfoque al cliente en las organizaciones educativas
* La política de calidad en las organizaciones educativas
* Planificación: Definir los objetivos de calidad y las actividadesy recursos necesarios para alcanzar los objetivos
* Responsabilidad, autoridad y comunicación
* Provisión y gestión de los recursos
* Recursos humanos competentes
* Infraestructura yambiente de trabajo de conformidad con los requisitos del proceso educativo
* Planificación y realización del producto
* Diseño y desarrollo
* Proceso de compras
* Control de losdispositivos de seguimiento y medición
* Satisfacción del cliente
* Auditoria Interna ISO
* Revisión y disposición de las no conformidades
* Análisis de datos
Serie ISO 27000
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por:
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares
ISO 27001
Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última.
ISO 27002
La norma ISO 27001 cubre a todo tipo de organizaciones (por ej. empresas comerciales, agencias, gubernamentales, organizaciones sin ánimo de lucro) e independientemente de su tamaño (pequeña, mediana o gran empresa), tipo o naturaleza.
informática.
C) Definición del plan de seguridad
ELEMENTOS DE SEGURIDAD INFORMATICA
Los componentes del sistema permanecen
inalterados a menos que sean modificados por los
usuarios autorizados.
Los usuarios deben tener disponibles todos los
componentes del sistema cuando así lo deseen.
Autenticidad
Definir que la información requerida es válida y
utilizable en tiempo, forma y distribución.
No Repudio
Evita que cualquier entidad que envió o recibió
información alegue, que no lo hizo.
Determinar qué, cuándo, cómo y quién realiza
acciones sobre el sistema.
• Definición de políticas.
¢Es
un estándar abierto desarrollado y promovido por el Instituto de Gobernación de
TI.
¢Apoyado
en las necesidades gerenciales en cuanto a monitoreo de los niveles apropiados
de seguridad de TI que se deben seguir en las organizaciones.
¢El
Modelo de Madurez en el cual se basa COBIT, consiste en un método que evalúa el
grado de control sobre los procesos de TI de una organización en una escala de
0 a 5, donde el menor (0) significa "No existe" y el mayor
"Optimizado" (5).
ISM3
¢Es
un estandar
de ISECOM para la gestión de la seguridad de la información. Está pensado para
una mejorar la integración con otras metodologías y normas como COBIT, ITIL o
CMMI. Ofrece muchas ventajas para la
creación de sistemas de gestión de la seguridad
¢ISM3
ve como objetivo la seguridad de la información, el garantizar la consecución
de objetivos de negocio.de la información.
¢
ISM3 relaciona directamente los
objetivos de negocio (como entregar productos a tiempo) de una organización con
los objetivos de seguridad (como dar acceso a las bases de datos sólo a los
usuarios autorizados).
¢Algunas
características significativas de
ISM3 son:
¢Métricas
de Seguridad de la Información
¢Niveles
de Madurez
¢Basado
en Procesos
¢Adopción
de las Mejores Prácticas
¢Certificación
Accesible
B)Analiza estándares internacionales de
seguridad informáticaESTANDAR DE SEGURIDAD BS 17799
BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un procesopara evaluar, implementar, mantener y administrar la seguridad de la información.
Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control ycontroles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO
Objetivo
El objetivo es proporcionar una base común para desarrollar normasde seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.
Alcance
-Aumento de laseguridad efectiva de los
Sistemas de información.
- Correcta planificación y gestión de la
seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de
auditoríainterna.
- Incremento de los niveles de confianza
de los clientes y socios de negocios.
- Aumento del valor comercial y mejora
de la imagen de la organización.
Enfoque
* Responsabilidad de ladirección
* Enfoque al cliente en las organizaciones educativas
* La política de calidad en las organizaciones educativas
* Planificación: Definir los objetivos de calidad y las actividadesy recursos necesarios para alcanzar los objetivos
* Responsabilidad, autoridad y comunicación
* Provisión y gestión de los recursos
* Recursos humanos competentes
* Infraestructura yambiente de trabajo de conformidad con los requisitos del proceso educativo
* Planificación y realización del producto
* Diseño y desarrollo
* Proceso de compras
* Control de losdispositivos de seguimiento y medición
* Satisfacción del cliente
* Auditoria Interna ISO
* Revisión y disposición de las no conformidades
* Análisis de datos
Serie ISO 27000
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por:
- ISMS(Information Security Management System).
- Valoración de Riesgo.
- Controles.
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares
ISO 27001
Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última.
ISO 27002
La norma ISO 27001 cubre a todo tipo de organizaciones (por ej. empresas comerciales, agencias, gubernamentales, organizaciones sin ánimo de lucro) e independientemente de su tamaño (pequeña, mediana o gran empresa), tipo o naturaleza.
C) Definición del plan de seguridad
La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos),hardware y todo lo que la organización valore (activo) y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.
El concepto de seguridad de la información no debe ser confundido con el de «seguridad informática», ya que este último solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.
Puesto simple, la seguridad en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una definición general de seguridad debe también poner atención a la necesidad de salvaguardar la ventaja organizacional, incluyendo información y equipos físicos, tales como los mismos computadores. Nadie a cargo de seguridad debe determinar quien y cuando se puede tomar acciones apropiadas sobre un ítem en específico. Cuando se trata de la seguridad de una compañía, lo que es apropiado varía de organización a organización. Independientemente, cualquier compañía con una red debe de tener una política de seguridad que se dirija a conveniencia y coordinación.
• Descripción de los principales
elementos de protección.
Integridad
Los componentes del sistema permanecen
inalterados a menos que sean modificados por los
usuarios autorizados.
Disponibilidad
Los usuarios deben tener disponibles todos los
componentes del sistema cuando así lo deseen.
Privacidad
Los componentes del sistema son accesibles sólo
por los usuarios autorizados.
Los componentes del sistema son accesibles sólo
por los usuarios autorizados.
Control
Solo los usuarios autorizados deciden cuando y
como permitir el acceso a la información.
como permitir el acceso a la información.
Autenticidad
Definir que la información requerida es válida y
utilizable en tiempo, forma y distribución.
No Repudio
Evita que cualquier entidad que envió o recibió
información alegue, que no lo hizo.
Auditorìa
Determinar qué, cuándo, cómo y quién realiza
acciones sobre el sistema.
• Definición de políticas.
Una política de seguridad en el ámbito de la criptografía de clave pública o PKI es un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad. Pueden cubrir cualquier cosa desde buenas prácticas para la seguridad de un solo ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad de un país entero.
La política de seguridad es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información. Contiene la definición de la seguridad de la información bajo el punto de vista de cierta entidad.
Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta, objetivos de seguridad, procedimientos (véase referencias más adelante). Debe estar fácilmente accesible de forma que los empleados estén al tanto de su existencia y entiendan su contenido. Puede ser también un documento único o inserto en un manual de seguridad. Se debe designar un propietario que será el responsable de su mantenimiento y su actualización a cualquier cambio que se requiera.
- De acceso físico a equipos.
La posibilidad de acceder físicamente a una máquina Unix - en general, a cualquier sistema operativo - hace inútiles casi todas las medidas de seguridad que hayamos aplicado sobre ella: hemos de pensar que si un atacante puede llegar con total libertad hasta una estación puede por ejemplo abrir la CPU y llevarse un disco duro; sin necesidad de privilegios en el sistema, sin importar la robustez de nuestros cortafuegos, sin nisiquiera una clave de usuario, el atacante podrá seguramente modificar la información almacenada, destruirla o simplemente leerla. Incluso sin llegar al extremo de desmontar la máquina, que quizás resulte algo exagerado en entornos clásicos donde hay cierta vigilancia, como un laboratorio o una sala de informática, la persona que accede al equipo puede pararlo o arrancar una versión diferente del sistema operativo sin llamar mucho la atención. Si por ejemplo alguien accede a un laboratorio con máquinas Linux, seguramente le resultará fácil utilizar un disco de arranque, montar los discos duros de la máquina y extraer de ellos la información deseada; incluso es posible que utilice un ramdisk con ciertas utilidades que constituyan una amenaza para otros equipos, como nukes o sniffers
- De acceso lógico a equipos
El control de acceso lógico a sistemas y aplicaciones es la primera barrera a superar por un atacante para el acceso no autorizado a un equipo y a la información que contiene. La utilización de métodos de seguridad combinados como la autenticación de 2 factores, la biometría y las técnicas de OTP (One Time Password) y SSO (Single Sign On) permiten reducir la probabilidad de éxito en los intentos de acceso por personal no autorizado.
-Para la creación de cuenta de usuario
La posibilidad de acceder físicamente a una máquina Unix - en general, a cualquier sistema operativo - hace inútiles casi todas las medidas de seguridad que hayamos aplicado sobre ella: hemos de pensar que si un atacante puede llegar con total libertad hasta una estación puede por ejemplo abrir la CPU y llevarse un disco duro; sin necesidad de privilegios en el sistema, sin importar la robustez de nuestros cortafuegos, sin nisiquiera una clave de usuario, el atacante podrá seguramente modificar la información almacenada, destruirla o simplemente leerla. Incluso sin llegar al extremo de desmontar la máquina, que quizás resulte algo exagerado en entornos clásicos donde hay cierta vigilancia, como un laboratorio o una sala de informática, la persona que accede al equipo puede pararlo o arrancar una versión diferente del sistema operativo sin llamar mucho la atención. Si por ejemplo alguien accede a un laboratorio con máquinas Linux, seguramente le resultará fácil utilizar un disco de arranque, montar los discos duros de la máquina y extraer de ellos la información deseada; incluso es posible que utilice un ramdisk con ciertas utilidades que constituyan una amenaza para otros equipos, como nukes o sniffers
- De acceso lógico a equipos
El control de acceso lógico a sistemas y aplicaciones es la primera barrera a superar por un atacante para el acceso no autorizado a un equipo y a la información que contiene. La utilización de métodos de seguridad combinados como la autenticación de 2 factores, la biometría y las técnicas de OTP (One Time Password) y SSO (Single Sign On) permiten reducir la probabilidad de éxito en los intentos de acceso por personal no autorizado.
-Para la creación de cuenta de usuario
En el contexto de la informática, un usuario es una persona que utiliza un sistema informático. Para que los usuarios puedan obtener seguridad, acceso al sistema, administración de recursos, etc, dichos usuarios deberán identificarse. Para que uno pueda identificarse, el usuario necesita una cuenta (una cuenta de usuario) y un usuario, en la mayoría de los casos asociados a una contraseña. Los usuarios utilizan una interfaz de usuario para acceder a los sistemas, el proceso de identificación es conocido como identificación de usuario o acceso del usuario al sistema (del inglés: "log in").
Los usuarios se caracterizan por ser el tipo de personas que utilizan un sistema sin la amplia experiencia necesaria que se requiere para entender al sistema (en oposición al técnico, hacker u otro perfil que sí se presupone conoce dicho sistema). En el contexto hacker, se les denomina usuarios reales. Véase también Usuario final.
Los usuarios de informática son muy similares a los usuarios en telecomunicaciones, pero con algunas pequeñas diferencias semánticas. La diferencia es comparable a la diferencia que existe entre un usuario final y los consumidores en la economía.
-De protección de red (firewall).
Cada ordenador que se conecta a internet (y, básicamente, a cualquier red de ordenadores) puede ser víctima del ataque de un hacker. La metodología que generalmente usan los hackers consiste en analizar la red (mediante el envío aleatorio de paquetes de datos) en busca de un ordenador conectado. Una vez que encuentra un ordenador, el hacker busca un punto débil en el sistema de seguridad para explotarlo y tener acceso a los datos de la máquina.
Por muchas razones, esta amenaza es aún mayor cuando la máquina está permanente conectada a internet:
- Es probable que la máquina elegida esté conectada pero no controlada.
- Generalmente, la máquina conectada que se elige posee un ancho de banda más elevado.
- La máquina elegida no cambia las direcciones IP o lo hace muy ocasionalmente.
Por lo tanto, es necesario que tanto las redes de las compañías como los usuarios de internet con conexiones por cable o ADSL se protejan contra intrusiones en la red instalando un dispositivo de protección.
¿Qué es un Firewall?
Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra intrusiones provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall filtra paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de una pasarela de filtrado que comprende al menos las siguientes interfaces de red:
- una interfaz para la red protegida (red interna)
- una interfaz para la red externa.
-Para la gestion de actualizaciones
Todas las empresas de software recomiendan la actualización periódica desde la Red de sus programas informáticos cuando estén ejecutados en el escritorio del ordenador del usuario. Así se dota al equipo de una mayor estabilidad. Las actualizaciones añaden funcionalidades nuevas, mejoran las ya existentes y corrigen agujeros de seguridad. Sin embargo, un ordenador con programas en plena actualización puede convertirse en una máquina lenta y torpe; en consecuencia, conviene gestionarlas para que no se produzcan de manera simultánea.
-CONTROL DE CAMBIO
El Control de Cambio es una Medida oficial que se toma para proteger tanto el valor de la moneda local como las reservas internacionales de un país mediante la restricción de la compra y venta de divisas.
El Control de Cambio es una intervención oficial del mercado de divisas, en la que los mecanismos normales de oferta y demanda, quedan total o parcialmente fuera de operación y en su lugar se aplica una reglamentación administrativa sobre compra y venta de divisas.
En un control de cambio se imponen un conjunto de restricciones tanto cuantitativas como cualitativas de una entrada y salida de cambio extranjero.
-De almacenamiento
os sistemas informáticos pueden almacenar los datos tanto interna (en la memoria) como externamente (en los dispositivos de almacenamiento). Internamente, las instrucciones o datos pueden almacenarse por un tiempo en los chips de silicio de la RAM (memoria de acceso aleatorio) montados directamente en la placa de circuitos principal de la computadora, o bien en chips montados en tarjetas periféricas conectadas a la placa de circuitos principal del ordenador. Estos chips de RAM constan de conmutadores sensibles a los cambios de la corriente eléctrica, esto quiere decir que los datos son almacenados por tiempo limitado (hasta que dejamos de suministrar energía eléctrica) por esta razón aparecen los dispositivos de almacenamiento secundarios o auxiliares, los cuales son capaces de conservar la información de manera permanente, mientras su estado físico sea óptimo. Los dispositivos de almacenamiento externo pueden residir dentro del CPU y están fuera de la placa de circuito principal.
-De respaldo
Los respaldos o copias de seguridad tienen dos objetivos principales:
- Permitir la restauración de archivos individuales
- Permitir la restauración completa de sistemas de archivos completos
El primer propósito es la base para las peticiones típicas de restauraciones de archivos: un usuario accidentalmente borra un archivo y le pide restaurarlo desde el último respaldo. Las circunstancias exactas pueden variar, pero este es el uso diario más común de los respaldos.
La segunda situación es la peor pesadilla de un administrador de sistemas: por la situación que sea, el administrador se queda observando un hardware que solía ser una parte productiva del centro de datos. Ahora, no es más que un pedazo de acero y silicon inútil. Lo que está faltando en todo el software y los datos que usted y sus usuarios habian reunido por años.
D.Establece métricas y mecanismos para la evaluación de los controles implementados.
Establecer métricas y mecanismos para la evaluación de los controles implementados.
• Define indicadores para evaluar la eficiencia de los controles implementados.
• Define el modo en que los indicadores serán medidos.
• Define indicadores para evaluar la eficiencia de los controles implementados.
• Define el modo en que los indicadores serán medidos.
• Define indicadores para evaluar la eficiencia de los controles implementados.
Para poder aplicar indicadores de gestión como herramienta de evaluación es necesario saber que tipo de indicadores debo aplicar, en que área se aplicara, cómo será el proceso de evaluación y de dónde se obtendrá dicha información. Es necesario entonces conocer los pasos básicos para diseñar indicadores de gestión: Contar con Objetivos a Corto Plazo`: Mejorar la gestión y organización de la empresa Lograr alianzas con los principales proveedores de la empresa Fidelización del cliente Optimizar la producción Identificar los factores críticos del éxito. Recurso Humanos Abastecimiento.
Ventas Establecer los indicadores para cada factor critico.
Ventas Establecer los indicadores para cada factor critico.
• Define el modo en que los indicadores serán medidos
Como podréis comprobar los indicadores de gestión son claves para el pilotaje de los procesos relacionados. Cualquiera de los OTROS indicadores citados sirve para ver la evolución del proceso de GESTIÓN DE PEDIDOS. Pero los indicadores que realmente sirven para pilotar el mismo son los indicadores de gestión. En este caso, la gestión del buffer, es el verdadero artífice que nos permite ver la situación del proceso en todo momento y administrar los recursos necesarios para prevenir y cumplir realmente con los pedidos de los clientes y optimizar esos cuellos de botella que nos están limitando y/o que hemos considerados como limites.
Es muy frecuente en las organizaciones establecer indicadores de eficacia y de eficiencia y esperar al resultados de los mismos para tomar acciones. Pero es mas que evidente que con esto solo conseguiremos establecer acciones para el futuro, dejando el presente a las inclemencias de los elementos. Que para el caso que nos ocupa siempre estarán basados en esas leyes de Murphy, cuyo máximo exponente es que si algo puede salir mal estemos seguros que así será. Seguro que ahora mismos se os están ocurriendo algunos ejemplos.
Los ejemplos mas gráficos los encontramos en las medidas de satisfacción de los clientes y en el "time to market" de nuevos productos. El primero de ellos esta relacionado con todas esas encuestas, mas o menos complejas, a las que sometemos y/o nos vemos sometidos. Y el segundo esta relacionado con la necesidad de saber el tiempo que nos cuesta lanzar los nuevos productos. Es evidente que los indicadores aludidos siempre se referirán a comportamientos pasados. Esto esta bien, pero estaréis conmigo que son del todo insuficientes para gestionar el día a día de los procesos de una empresa o una organización.
