Beruflich Dokumente
Kultur Dokumente
UNIARIES
Grupo de Trabajo
Profesor
Fernando Quintero
2010
UNIARIES
TABLA DE CONTENIDO
Introducción 3
Objetivos 4
Elaboración, aprobación y revisión plan de seguridad 5
1. Alcance. 6
2. Caracterización del Sistema Informático. 6
3. Resultados del Análisis de Riesgos. 10
4. Políticas de Seguridad Informática. 12
5. Sistema de Seguridad Informática. 24
5.1. Medios humanos. 24
5.2. Medios técnicos. 26
5.3. Medidas y Procedimientos de Seguridad Informática. 27
5.3.1. De protección física. 28
5.3.1.1. A las áreas con tecnologías instaladas. 28
5.3.1.2. A las tecnologías de información. 28
5.3.1.3. A los soportes de información. 28
5.3.2. Técnicas o lógicas. 29
5.3.2.1. Identificación de usuarios. 30
5.3.2.2. Autenticación de usuarios. 31
5.3.2.3. Control de acceso a los activos y recursos. 31
5.3.2.4. Integridad de los ficheros y datos. 32
5.3.2.5. Auditoria y alarmas. 32
5.3.3. De seguridad de operaciones. 32
5.3.4. De recuperación ante contingencias. 34
6. Anexos. 34
6.1. Programa de Seguridad Informática 34
6.2. Listado nominal de usuarios con acceso a redes de alcance 35
global.
6.3. Registros. 36
Conclusiones 37
2 de 37
UNIARIES
INTRODUCCION
Este trabajo consta de los pasos necesarios para una correcta elaboración de
un plan de seguridad informático donde se llevaran a cabo puntos específicos y
concretos para dicha implementación.
.
3 de 37
UNIARIES
OBJETIVOS
4 de 37
UNIARIES
5 de 37
UNIARIES
1. Alcance
El alcance del diagnostico actual de UNIARIES comprende el correcto
funcionamiento de la administración del área de TI.
Seguridad de la información
Asegurar correctamente la seguridad la información basándonos en la
seguridad tanto lógica, física y ambiental
6 de 37
UNIARIES
Este servidor nos brindara la disponibilidad de cada uno de los servicios que
aquí estarán alojados.
Este servidor nos brindara la disponibilidad de cada uno de los servicios que
aquí estarán alojados. Este es un servidor de gama alta con una gran
capacidad y además un excelente funcionamiento
Todo nuestro cableado de los dispositivos según su conexión estará bajo RJ45
categoría 5-e
Bases de datos
7 de 37
UNIARIES
8 de 37
UNIARIES
9 de 37
UNIARIES
Las amenazas que actúan sobre ellos, para la información de nuestra entidad
es un atacante anónimo externo ajeno a la entidad o interno empleado de la
entidad; y el riesgo de que se materialice es:
por criminalidad político que puede ser por parte de otra persona ajena a
nuestra entidad tiene un riesgo del 3,5
Hay que tener en cuenta que el personal es otro activo importante para el
desempeño de nuestra organización por esta razón es una de las más
vulnerables. El riesgo de que sea víctima de una ingeniería social es de un 5,1
quizás es muy alto pero es la verdad las personas es por así decirlo el punto
que puede ser más débil en nuestra organización. A estas personas es muy
poco probable de que le pase o se afecte por un suceso de origen físico por
eso su probabilidad es de 0,8.
10 de 37
UNIARIES
Todas estas amenazas son tanto para correo electrónico, bases de datos y
páginas web.
11 de 37
UNIARIES
ausencia de documentación
Gerencia:
Gestor de Seguridad:
Persona dotada de conciencia técnica, encargada de velar por la seguridad de
la información, realizar auditorías de seguridad, elaborar documentos de
seguridad como, políticas, normas; y de llevar un estricto control.
Unidad Informática:
Entidad o Departamento dentro de la institución, que vela por todo lo
relacionado con la utilización de computadoras, sistemas de información, redes
informáticas, procesamiento de datos e información y la comunicación en sí, a
través de medios electrónicos.
Responsable de Activos:
Personal dentro de los diferentes departamentos administrativos de la
institución, que velará por la seguridad y correcto funcionamiento de los activos
informáticos, así como de la información procesada en éstos, dentro de sus
respectivas áreas o niveles de mando.
Base Legal:
12 de 37
UNIARIES
la Red Institucional
Visión:
Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y
correcto funcionamiento de la normativa y políticas de seguridad informática,
basado en el sistema de gestión de seguridad de la información.
Misión:
Establecer las normativas necesarias para el correcto funcionamiento de un
sistema de gestión para la seguridad de la información, enmarcando su
aplicabilidad en un proceso de desarrollo continuo y actualizable.
Glosario de Términos:
Archivo Log: Ficheros de registro del sistemas, en los que se anota los pasos
que dan (lo que hace un usuario, como transcurre una conexión, horarios de
conexión, terminales o IP´s involucradas en el proceso, etc.)
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del
sistema.
13 de 37
UNIARIES
14 de 37
UNIARIES
Políticas de Seguridad
15 de 37
UNIARIES
Excepciones de responsabilidad
1. Los usuarios que por disposición de sus superiores realicen acciones que
perjudiquen a otros usuarios o la información que estos procesan, y si estos no
cuentan con un contrato de confidencialidad y protección de la información de
la institución o sus allegados.
2. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir
algunas de las políticas enumeradas en este documento, debido a la
responsabilidad de su cargo, o a situaciones no programadas. Estas
excepciones deberán ser solicitadas formalmente y aprobadas por el comité de
seguridad, con la documentación necesaria para el caso, siendo la gerencia
quien dé por sentada su aprobación final.
Clasificación de la información
1. De forma individual, los departamentos de la Universidad UNIARIES, son
responsables, de clasificar de acuerdo al nivel de importancia, la información
que en ella se procese.
2. Se tomarán como base, los siguientes criterios, como niveles de
importancia, para clasificar la información:
a) Pública
b) Interna
c) Confidencia
16 de 37
UNIARIES
Referente a contratos:
Capacitación de usuarios
1. Los usuarios de la red institucional, serán capacitados en cuestiones de
seguridad de la información, según sea el área operativa y en función de las
actividades que se desarrollan.
17 de 37
UNIARIES
respuesta a incidentes.
4. Cualquier situación o contrariedad en la seguridad deberá ser documentada,
posterior revisión de los registros o Log de sistemas con el objetivo de verificar
la situación y dar una respuesta concreta y acorde al problema.
Seguridad lógica
Control de accesos:
18 de 37
UNIARIES
19 de 37
UNIARIES
20 de 37
UNIARIES
5. Los accesos a la red interna o local desde una red externa de la institución ,
se harán mediante un mecanismo de autenticación seguro y el trafico entre
ambas redes o sistemas será cifrado
6. Se registrara todo acceso a los dispositivos de red, mediante archivos de
registro o Log, de los dispositivos que provean estos accesos.
21 de 37
UNIARIES
22 de 37
UNIARIES
Mantenimiento
1. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva
responsabilidad del personal de la unidad de informática, o del personal de
soporte técnico.
2. El cambio de archivos de sistema, no es permitido, sin una justificación
aceptable y verificable por el gestor de seguridad.
Seguridad física
EGURIDAD FÍSICA
Seguridad física y ambiental
23 de 37
UNIARIES
Controles generales
1. Las estaciones o terminales de trabajo, con procesamientos críticos no
deben de contar con medios de almacenamientos extraíbles, que puedan
facilitar el robo o manipulación de la información por terceros o personal que no
deba tener acceso a esta información.
2. En ningún momento se deberá dejar información sensible de robo,
manipulación o acceso visual, sin importar el medio en el que esta se
encuentre, de forma que pueda ser alcanzada por terceros o personas que no
deban tener acceso a esta información.
3. Deberá llevarse un control exhaustivo del mantenimiento preventivo y otro
para el mantenimiento correctivo que se les haga a los equipos.
Los administradores de la red y técnicos solo ellos podrán tener acceso al área
de teleinformatica y serán los únicos responsables de los dispositivos activos
tendrán un horario donde el área de teleinformatica estará vigilada,
monitorizada las 24 horas del día.
24 de 37
UNIARIES
Alexander Henao cumple con administrar la red para que no presente problema
alguno de conectividad, se encarga también de administrar varios de los
dispositivos de la entidad como lo son AP, swith y esta pendiente de que le
servidor de la entidad este en correcto funcionamiento para los diferentes
administradores de la red.
Carolina Vélez persona clave para la entidad ya que cuenta con una alta
experiencia profesional de ella y del personal que la acompaña depende de
que la entidad fracase o sea un éxito. Ella es la encargada de que el personal
de la entidad se sienta en un ambiente motivador, también supervisa que los
cambios para la entidad sean planeados y coordinados para asegurar la
25 de 37
UNIARIES
José Luis Perales es el encargado de velar por la entidad para que tenga un
buen funcionamiento en todos sus aspectos el cuenta con el personal de la
entidad para que cumplan las distintas funciones en las áreas especificas.
Los tipos de red que se utilizaran son LAN, WLAN, DMZ y WAN donde la LAN
tendrá acceso a la WAN y a la DMZ, la WAN tiene restricción hacia la LAN y
acceso algunos servicios de la DMZ, en la WLAN los usuarios se tendrán que
autenticar en el AP por medio de WPA2 y a la vez contra un servidor RADIUS.
La topología que se implementara será en forma de estrella.
Se utilizara sniffers ya que este nos permitirá capturar todo el tráfico que
pasara por nuestra red también se utilizara pfsense que se une con el snort
para la perfecta administración y monitoreo de la red, el trafico de la red se
analizara máximo cada 48 horas por el administrador de red Cristian Camilo
Sepulveda uno de los encargados en el área de seguridad.
26 de 37
UNIARIES
Los usuarios de la entidad como los estudiantes tendrán acceso a los sistemas
como invitado mas no como administrador, los estudiantes tendrán claves de 5
dígitos sin caracteres especiales. Para el personal administrativo de la entidad
la clave contara con más de 12 dígitos con caracteres especiales al inicio y al
final estas claves se actualizaran cada 20 días para una mayor seguridad y
para demás empleados de la entidad la clave contara con 8 dígitos con
caracteres especiales venciendo cada 20 días.
Los administradores de red tendrán que tener mucho cuidado con dejar
secciones de administración abiertas que perjudiquen la entidad como en
modificación, pérdida o divulgación de información valiosa para la entidad.
27 de 37
UNIARIES
28 de 37
UNIARIES
Servidor WEB: Con el fin de que la compañía pueda publicar sus productos y
servicios al exterior de una forma fácil y Rápida.
29 de 37
UNIARIES
también trae consigo Riesgos que deben aceptarse y tratarse para evitar que
se vea comprometida la seguridad de la información. Para reducir los Riesgos
se adoptaran medidas tanto físicas como lógicas.
Medidas Físicas
Medidas Lógicas
30 de 37
UNIARIES
Las cuentas de los usuarios serán otorgados por los administradores del
sistema
El usuario deberá cambiar la contraseña cuando se autentique por
primera vez en el sistema
La nueva contraseña ingresada por el usuario deberá ser mínimo de 8
caracteres y contener números o caracteres especiales.
Las contraseñas serán cambiadas periódicamente con el fin de evitar
que personas ajenas a la institución y por el descuido el usuario hagan
mal uso de las mismas.
Finalmente las cuentas de empleados que se retiren de la institución
serán eliminadas del sistema para evitar que el mismo se vea
comprometido por el uso mal intencionado de las mismas
31 de 37
UNIARIES
Las tecnologías más usadas en nuestra entidad son los servicios de red y
aplicaciones como lo son servicios unos de ellos son DNS y servicios de
correo los cuales estarán a disposición de cada vez que una persona integrante
de nuestra entidad los requiera utilizar.
32 de 37
UNIARIES
Durante conexiones a lugares que no son del área de nuestra entidad tenemos
que darle un grado de importancia alto pues es muy probable que haya una
fuga de información
33 de 37
UNIARIES
6 Anexos
34 de 37
UNIARIES
La entidad también cuenta con un tiempo dedicado para realizar las distintas
pruebas de auditorías, testeo, inspección realizando tanto las distintas
auditorias como lo son internas o externas.
NOTA: Las páginas pornográficas van a tener restricciones para todas las
personas aquí mencionadas, las 24 horas.
35 de 37
UNIARIES
6.3 Registros
Finalmente es importante que todas las medidas y proceso realizados en la
organización en pro del Mejoramiento en cuanto a la seguridad y uso del
sistema estén bien documentados ya que son de gran utilidad Para solucionar
de manera más rápida y eficaz problemas que puedan presentarse
posteriormente.
36 de 37
UNIARIES
COCLUSIONES
Con este trabajo los integrantes del grupo Aries lograron obtener conocimientos
necesarios sobre los temas tratados.
Además fueron delegados los diferentes roles que cumplen cada persona
dentro de la entidad, cada uno de ellos es encargado del activo
correspondiente dentro de la entidad.
37 de 37