Profesional Reporte

Nombre: Denise Del Carmen Zavala Herrera Matrcula: 10CG0299 Nombre del curso: Nombre del profesor: Seguridad Informtica Semestre: #$ Semestre Fecha: 0* de se&tiem+re de 201) Bibliografa: Sal Garc a !nda"ola Actividad: %e&orte: Cri&tograf a Integradora 'o( )

,+-etivo:

Dise.ar / definir &ol ticas de seguridad( Identificar / clasificar incidentes de seguridad( !&ro+ar el dise.o de los &lanes de seguridad0 continuidad / dis&oni+ilidad de la informaci1n(

2rocedimiento: !nali"ando las caracter sticas de infraestructura tecnol1gica con las 3ue cuenta0 se lleg1 a la siguiente conclusi1n: 4a informaci1n es fcil de salir de la em&resa0 &uesto 3ue al guardarla en las la&to& &ersonales o 5S60 / sacarlas al e7terior de la em&resa es ms sencillo sacar / e7&ortar la informaci1n /a sea del mismo &ersonal0 &ersonas cerca a la &ersona0 o &erder la informaci1n en un ro+o o e7trav o( 4a soluci1n a este &ro+lema0 es no &ermitir 3ue la informaci1n salga0 es decir0 solo las 5S6 del cor&orativo se &ueden utili"ar dentro de la em&resa0 solo &ersonal de alto rango /8o autori"ado &odr sacar informaci1n o material del edifico0 se de+er limitar el acceso / uso de dis&ositivos con los 3ue se &ueda sacar informaci1n 9la&to&s0 5S60 celulares inteligentes0 etc(:( !l no colocar contrase.as a las com&utadoras0 es ms sencillo entrar en ellas / ro+ar la informaci1n0 sin 3ue el usuario se d; cuenta( 4a soluci1n a este &ro+lema0 ser colocar una contrase.a 3ue solicite ser cam+iada cada cierto tiem&o0 en la cual solo el usuario de esa com&utadora se&a la contrase.a( !l com&artir los arc<ivos &or medio de cuentas &+licas0 estas tienden a ser ms &ro&ensas a infiltraciones0 ro+o de informaci1n0 virus0 etc( =l data center creado0 de+e de ser utili"ado &ara el almacenamiento / resguardo de informaci1n0 &uesto 3ue &ara eso fue creado0 mas no es utili"ado(

Profesional Reporte

=sas conclusiones surgieron a &rimera vista0 al &lantear la infraestructura tecnol1gica0 / son sugerencias +sicas &ara una me-or seguridad( =lementos del &lan de seguridad( 2ol ticas de seguridad &ara eliminar el filtrado de informaci1n sensi+le( =n las &ol ticas de seguridad se de+en im&lementar normas / &ol ticas &ara el mane-o de informaci1n( 2uesto 3ue se comen"ara a im&lementar un reglamento +sico / fundamental &ara cual3uier em&resa o cor&orativo 3ue mane-e informaci1n digital( > %egistro de dis&ositivos de =8S0 inteligentes0 almacenamiento0 3ue ingresen a la cor&oraci1n 95S60 la&to&s0 discos0 etc(:( > Solo el &ersonal autori"ado con fines de tra+a-o &uede sacar informaci1n en dis&ositivos( > Se tendr 3ue solicitar la salida de informaci1n0 / &osteriormente <acer un informe / registro de 3uien0 como0 cuando / &ara 3ue fines se re3uiere llevar dic<a informaci1n( > Dentro del cor&orativo0 est restringido el acceso a cuentas 3ue no sean cor&orativas 9?ace+oo@0 /a<oo0 Hotmail0 etc(:( > 2ara ;l envi1 de informaci1n v a red 9A!'0 4!'0 etc(: se tendr 3ue utili"ar ,utloo@ con correo cor&orativo autori"ado( > Se tendr un registro de correos de =8S0 &ara a3uellos 3ue intenten mandar informaci1n fuera de la em&resa( > Se &rocesara de manera legal a a3uel 3ue se descu+ra sacando informaci1n fuera de la em&resa( 4os o+-etivos &rinci&ales de las &ol ticas de seguridad son: &roteger la informaci1n del cor&orativo &ara su &rocesamiento0 frente a amena"as0 internas o e7ternas0 deli+eradas o accidentales0 con el fin de asegurar el cum&limiento de la confidencialidad0 integridad0 dis&oni+ilidad0 legalidad / confia+ilidad de la informaci1n( !segurar la im&lementaci1n de las medidas de seguridad com&rendidas en esta 2ol tica0 identificando los recursos / las asignaciones de &artidas adicionales( B &or ltimo mantener la 2ol tica de Seguridad actuali"ada0 a efectos de asegurar su vigilancia / nivel de eficacia( 4as sanciones &revistas &or el incum&limiento: al incum&lir con las dis&osiciones esta+lecidas &or las &ol ticas0 tendrn como resultado la a&licaci1n de diversas sanciones0 conforme a la magnitud / caracter sticas del as&ecto no cum&lido( Como se &ueden ver anteriormente en la lista de reglamento +sico esta+lecido( Ci&o de incidentes se &ueden &resentar relacionados con el filtrado de informaci1n( 2ara identificar &osi+les fugas / detenerlas se reali"1 una investigaci1n en informes de em&resas 0 +ancos / organi"aciones &or medio de eset, como &or e-em&lo0 uno de los casos con ma/or re&ercusi1n de Wikileaks, una organi"aci1n sin fines de lucro 3ue desde 200D &ermite 3ue &ersonas 3ue tengan acceso a cierta informaci1n sensi+le de inter;s &+lico &uedan &u+licarla en dic<o sitio Ee+0 &reservando el anonimato / garanti"ando la &u+licaci1n tal cual esta fue ingresada0 este sitio llego a grandes medios en el 20100 cuando se comunic1 a la &rensa internacional una colecci1n de ms de 2*0(000 ca+les entre el de&artamento de estado estadounidense / sus em+a-adas &or el mundo0 transformndose en la ma/or filtraci1n de documentos secretos de la <istoria0 adems de <a+er afectado al &a s( =ste e-em&lo es uno de los ms relevantes en tanto a fuga de informaci1n nos

Profesional Reporte

referimos( Sin em+argo &odemos ver cierta similitud en este caso con el de la em&resa a la cual nos contrataron0 &uesto 3ue <asta a<ora el &ersonal 3ue tiene acceso a la informaci1n sensi+le &uede sacarla fuera de la em&resa( 2or lo 3ue la acci1n a tomar seria0 &enar el filtrado de informaci1n0 tener registro de las &ersonas 3ue tengan acceso a la informaci1n de cual3uier ti&o( 4os ti&os de filtraci1n 3ue &uede <a+er son: fuga de datos de clientes0 &ersonal / de la em&resa( %o+o de identidad0 ro+o de cuentas de usuario0 cuantas +ancarias0 contrase.as0 incluso ro+o de dinero / estafa( Cada &ersonal de la em&resa ser res&onsa+le de la informaci1n 3ue mane-a0 alguna anomal a0 el &ersonal res&onsa+le tendr 3ue declarar lo sucedido( Si llega a e7istir la necesidad de otorgar acceso a terceras &artes a informaci1n de la em&resa0 el res&onsa+le de seguridad informtica / el &ro&ietario de la informaci1n de 3ue se trate0 tendrn 3ue llevar a ca+o la documentaci1n de la evaluaci1n de riesgo &ara identificar los re3uerimientos de controles es&ec ficos0 teniendo en cuenta0 entre otros as&ectos: > Ci&o de acceso re3uerido 9f sico8l1gico / a 3ue recurso: > 4os motivos &ara los cuales se solicita el acceso > =l valor de la informaci1n > 4os controles em&leados &or la tercera &arte > 4a incidencia de este acceso en la seguridad de la informaci1n del organismo( 2ro&uesta de un &lan de seguridad &ara el control de acceso ,+-etivo: Disminuir / erradicar la filtraci1n de informaci1n0 &ara tener una me-or / ma/or seguridad0 esta+ilidad0 integridad0 confidencialidad / dis&oni+ilidad informtica( 2roceso: > Se su&ervisaran contratos o acuerdos e7istentes o 3ue se efecten con terceros teniendo en cuenta la necesidad de a&licar los siguientes controles( o Cum&limiento de la &ol tica de seguridad de la informaci1n o 2rotecci1n de arc<ivos o 2rocedimiento &ara &roteger los +ienes0 a+arcando los activos f sicos0 la informaci1n / el softEare( o 2rocedimiento &ara determinar si <a ocurrido algn evento 3ue com&rometa los +ienes o Controles &ara garanti"ar la recu&eraci1n o destrucci1n de la informaci1n / los activos al finali"ar el contrato o acuerdo0 o en un momento convenido durante la vigilancia del mismo o %estricci1n de co&ia / divulgaci1n de informaci1n o Descri&ci1n de los servicios dis&oni+les o ,+ligaci1n de las &artes emanadas del acuerdo / res&onsa+ilidades o =7istencia de derec<os de &ro&iedad( > Se llevara a ca+o el seguimiento de las &ol ticas / reglas esta+lecidas > Se &enali"ar a a3uel 3ue filtre informaci1n de cual3uier ti&o 2ersonal: Como se mencion1 anteriormente0 el res&onsa+le de la seguridad informtica / el &ro&ietario de la informaci1n 3ue se trate0 levaran aca+o / documentarn una evaluaci1n de riesgos(

Profesional Reporte

Cada &ersonal tendr a su dis&osici1n cierta informaci1n 3ue necesite &ara la ela+oraci1n de su tra+a-o( =l encargado de la seguridad informtica llevara un seguimiento del mane-o de la informaci1n0 -unto con a3uel encargado de dic<a informaci1n( =n definitiva es necesario un &lan de dis&oni+ilidad &ara el control de acceso de la informaci1n0 &uesto 3ue en ocasiones es necesario otorgar cierta informaci1n a terceros0 sin em+argo0 se tiene 3ue llevar un &roceso &ara &erderles otorgar dic<a informaci1n0 &ara garanti"ar la seguridad0 esta+ilidad0 integridad0 confidencialidad0 legalidad / confia+ilidad de la informaci1n 2ro&uesta de un &lan de recu&eraci1n de desastres su&oniendo 3ue la organi"aci1n se encuentra en una "ona de &ro+a+le inundaci1n &or efectos de un <uracn( ,+-etivo: Fantener asegurada la informaci1n en caso de desastre0 &ermitiendo el mane-o de un res&aldo informtico de la em&resa0 fuera de esta f sicamente( 2roceso: Guardar siem&re un res&aldo de informaci1n en un site0 &ara la recu&eraci1n de datos0 en un servidor fuera de la "ona de &eligro o +ien en internet0 donde solo la em&resa tenga acceso a este res&aldo(

%esultados: =n los resultados o+tenidos tenemos0 ma/or seguridad ante amena"as de informaci1n0 internas o e7ternas0 deli+eradas o accidentales( Fanteniendo la integridad0 confia+ilidad0 confidencialidad0 dis&oni+ilidad / legalidad de la informaci1n intactos( =n caso 3ue algn &ersonal 3uiera sacar informaci1n &ara uso e7terno a la em&resa0 este ser &enali"ado conforme a las le/es de seguridad informtica( 2or lo 3ue nos garanti"a un me-or control dentro de la em&resa( Conclusi1n: =n este re&orte se muestra c1mo enfrentar &ro+lemas con la integradora(