1.2 Elabora el plan de seguridad en cómputo acorde con los riesgos determinados y estándares de protección.

ITIL;  

Es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. 

COBIT;

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.

ISM3;

ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados). Algunas características significativas de ISM3 son:
Métricas de Seguridad de la Información - ISM3 hace de la seguridad un proceso medible mediante métricas de gestión de procesos. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información.
Niveles de Madurez - ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles.
Basado el Procesos - ISM3 v1.20 está basado en procesos, al igual que sistemas de gestión populares como ISO9001 o ITIL.
ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los ANS y la distribución de responsabilidades.
Adopción de las Mejores Prácticas - Una implementación de ISM3 tiene extensas referencias a estándares bien conocidos en cada proceso, así como la distribución explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión Estratégica, Táctica y Operativa.  

BS 17799

BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información.

SERIE ISO 27000

En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.

ISO 27001
La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.
El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.

ISO 27002
Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita).

ISO 20000
La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.
La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC).

1.1 Elementos a proteger en un sistema informático

Los tres elementos principales a proteger en cualquier sistema informático son el software, el hardware y los datos.

  • Por hardware entendemos el conjunto formado por todos los elementos físicos de un sistema informático, como CPUs, terminales, cableado, medios de almacenamiento secundario (cintas, CD-ROMs, diskettes...) o tarjetas de red.
  • Por software entendemos el conjunto de programas lógicos que hacen funcional al hardware, tanto sistemas operativos como aplicaciones.
  • Por datos el conjunto de información lógica que manejan el software y el hardware, como por ejemplo paquetes que circulan por un cable de red o entradas de una base de datos.

METAS DE SEGURIDAD:

Definición de las metas de seguridad a alcanzar en un periodo de tiempo establecido Nuestro objetivo es llegar al máximo nivel de madurez (5) en ISM3 basándose en procesos que impliquen la creación y simplificación de mecanismos explícitos que garanticen tener la seguridad deseada de nuestra información, también mediante planeaciones a corto, mediano y largo plazo. Todo ésto se deberá cumplir en un tiempo aproximado de 4 años. Así mismo para llegar al máximo nivel de madurez de BS 17799 se llevará una guía de implementación del sistema para preservar todos los principios en un periodo de 4 años. 

ACCESO DE EQUIPO FISICO:

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

ACCESO DE EQUIPO LOGICO:

1. Se deberá documentar un procedimiento, difundido en toda la Organización, para solicitar y dar efectivamente el alta, la baja, la modificación y la rehabilitación de usuarios en cualquier sistema.

En el caso de que una persona se desvincule del sector donde desempeñaba sus funciones, el Superior de la misma solicitará en forma perentoria la baja del usuario y el Administrador lo inhabilitará inmediatamente en el sistema que corresponda.

Cuando se produzca la ausencia prolongada de un agente de sus funciones, su Superior inmediato solicitará, conforme los procedimientos previstos en el Anexo II, la inhabilitación temporaria de los accesos del usuario.

Todo Usuario inhabilitado solicitará la rehabilitación a su Superior inmediato y éste al Administrador por los medios instrumentados en el procedimiento mencionado anteriormente. El Administrador del Sistema es el único autorizado a rehabilitar un usuario.

2. Cada persona autorizada a ingresar a los Sistemas tendrá en principio una única identificación personal (login) para el acceso a cualquier plataforma de hardware o software donde esté autorizado. La relación entre la persona y su identificación es biunívoca, es decir, a una persona le corresponde una única identificación, y una identificación sólo se relaciona con una persona.

Esta relación vale para todos los usuarios excepto para los supervisores de los sistemas operativos (ej.: root, administrador, etc.) o los definidos por defecto en otros productos instalados (dba, oracle, system, etc.) que no puedan ser cambiados. Se deberá contar con una única persona responsable de las claves.

3. Por lo anterior, no deberán existir usuarios genéricos (usuarios agrupados bajo un password común para todos ellos) para la aplicación.

Si por razones técnicas o propias de la administración es necesaria la existencia de usuarios genéricos para el SIDIF Central, estos deberán ser aprobados conjuntamente por la Contaduría General de la Nación y la Unidad Informática previa opinión del área de Seguridad Informática.

4. Se deshabilitarán todas las cuentas del proveedor que vengan instaladas por defecto en el producto adquirido (sistema operativo, software de base, herramienta, aplicación, etc.). Si no fuera técnicamente posible, se restringirán sus permisos de forma tal de reducir al mínimo sus posibilidades de acceso a todos los recursos.

Asimismo se inhabilitarán cuentas de invitado "guest".

Se verificará el cumplimiento de estos ítems luego de la instalación de cada versión, upgrade, patch, fix, etc.

5. Todo usuario en cualquier servidor o plataforma tendrá, sin excepción, una clave de ingreso (password). Sólo él y el Administrador del Sistema, podrán cambiarla cuando lo deseen, y especialmente cuando sospeche que pueda estar comprometida o ser conocida por otros.

La responsabilidad del usuario de guardar en secreto su clave personal deberá quedar documentada en forma escrita.

6. La clave inicial del usuario se entregará utilizando un procedimiento seguro, verificando la identidad de la persona en forma fehaciente, y garantizando que sólo él es el que toma conocimiento de la misma.

Por excepción, la clave podrá ser retirada por un tercero contra la presentación de una nota formal debidamente firmada y autorizada por el interesado.

7. Preferentemente, las claves de ingreso de todos los usuarios estarán sujetas a las siguientes reglas:

Deberá tener una longitud de SEIS (6) caracteres como mínimo, conteniendo al menos una letra mayúscula, una minúscula y un número.

No deberá coincidir con la última clave elegida por el usuario, es decir, la nueva clave seleccionada deberá ser distinta a su clave anterior.

Se deberá cambiar la clave inicial asignada. Es decir, cuando el usuario ingrese por primera vez con su nueva clave el sistema lo obligará al cambio de la misma.

Deberá tener una vigencia máxima de TREINTA (30) días corridos. El sistema deberá obligar al usuario a cambiar la clave vencido ese plazo

Deberá advertir sobre el vencimiento del período de validez durante los últimos CINCO (5) días anteriores al cumplimiento de la vigencia máxima. Durante ese período el sistema avisará al usuario que deberá cambiar su clave.

8. Cuando el sistema cuente con la opción de generación aleatoria de password, deberá ser utilizada para obtener las claves de los usuarios nuevos o rehabilitados.

9 El tercer intento consecutivo de ingreso erróneo deberá producir, por parte del sistema, el bloqueo automático del usuario. El acceso vuelve a ser otorgado por autorización del superior solicitando la rehabilitación. (ver Glosario)

10. Quedará automáticamente inhabilitado por el sistema el usuario que no ingrese al mismo en un período de SESENTA (60) días corridos.

PARA LA CREACION DE CUENTAS DE USUARIO:

La administración de cuentas de usuario y grupos es una parte esencial de la administración de sistemas dentro de una organización. Pero para hacer esto efectivamente, un buen administrador de sistemas primero debe entender lo que son las cuentas de usuario y los grupos y como funcionan.

La razón principal para las cuentas de usuario es verificar la identidad de cada individuo utilizando un computador. Una razón secundaria (pero aún importante) es la de permitir la utilización personalizada de recursos y privilegios de acceso.

Los recursos incluyen archivos, directorios y dispositivos. El control de acceso a estos dispositivos forma una gran parte de la rutina diaria de un administrador de sistemas; a menudo el acceso a un recurso es controlado por grupos. Los grupos son construcciones lógicas que se pueden utilizar para enlazar a usuarios para un propósito común. Por ejemplo, si una organización tiene varios administradores de sistemas, todos ellos se pueden colocar en un grupo administrador de sistema. Luego se le pueden dar permisos al grupo para acceder a recursos claves del sistema. De esta forma, los grupos pueden ser una herramienta poderosa para la administración de recursos y acceso.

MANEJO DE BITACORA:

Una bitácora se utiliza para mantener el control sobre el uso de los equipos de computo un ejemplo de bitácora de seguridad es el que se muestra a continuación: Bitácora de seguridad de laboratorio de computo Sin embargo al momento de implementar el uso de estas es necesario tomar en cuenta algunos aspectos, por ejemplo: Equipos de computo • Apagarlos al desocuparlos. • No rayar las pantallas y las partes de la computadora. • No mojarlos. • No forzarlos cuando se traben. programas • Si un programa esta bloqueado no desbloquear • No utilizar el programa para cosas que no sean su funcionamiento. • Respetar el reglamento del programa Paginas web • No desbloquear las paginas • Hacer caso a las advertencias. mobiliario • No rallarlo • No pegar chicles • No maltrátarlo alumnos • No entrar con comida • Respetar el horario del laboratorio • Cuidar todo los componentes del laboratorio. 

MANEJO DE SOFTWARE: 

El manejo de los software en el equipo es de importancia por su capacidad de proteger al equipo de cómputo de amenazas presentes, principalmente en la red u otros dispositivos. Por ejemplo si se conecta a Internet, permite que otras personas utilicen el equipo o comparte los archivos con otras personas, debe tomar las medidas necesarias para impedir que el equipo sufra daños. 

FIREWALL:

Quizás uno de los elementos más publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que más se debe prestar atención, distan mucho de ser la solución final a los problemas de seguridad.

De hecho, los Firewalls no tienen nada que hacer contra técnicas como la Ingeniería Social y el ataque de Insiders.

Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).

Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:

  1. Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
  2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.

ADMINISTRACION DE SOFTWARE:

Dentro de la continua demanda de especialización profesional que la informática precisa, ha surgido hace algún tiempo, la figura del responsable de seguridad informática.

El responsable de seguridad informática es el encargado de mantener como bien dice la palabra, la seguridad en el área de la informática, enfocada específicamente a la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información.

Un responsable de seguridad informática puede decidir siempre que sea necesario del apoyo de responsables de seguridad informática por áreas designadas, siempre garantizando la capacitación de los mismos para su futuro desempeño como los requisitos a tener en cuenta para su selección.

CONTROLES DE SEGURIDAD PARA EVALUAR LA EFICENCIA:

El ambiente o entorno de control constituye el andamiaje para el desarrollo de las acciones y refleja la actitud asumida por lo alta dirección en relación con la importancia del control interno y su incidencia sobre las actividades de la entidad y resultados, por lo que debe tener presente todas las disposiciones, políticas y regulaciones que se consideren necesarias para su implantación y desarrollo exitoso 

MODO EN QUE INDICADORES SEAN MEDIDOS:

A) Respecto al agua o En cuanto a los Recursos naturales hidráulicos: • Recursos disponibles • Disponibilidad de agua embalsada • Demanda de agua total y por usos consuntivos • Consumo de agua potable o En cuanto a las Políticas de calidad ambiental aguas superficiales: • % de población con tratamiento de agua potable • Población sin tratamiento de aguas residuales 

B) Respecto a suelos • Intensidad de uso de suelo por sectores • Tasa anual de pérdida de suelo útil • Evolución de la superficie construida: sellado de suelo 

C) Respecto a residuos • Número de ayuntamientos con ordenanzas municipales sobre gestión de residuos • Cantidad de compost producido • Kilogramos de residuos sólidos urbanos generados por habitante y día • Nivel de recuperación de papel‐cartón, envases y vidrio • Número de habitantes por contenedor de reciclaje • Porcentaje de residuos específicos gestionados adecuadamente • Porcentaje de residuos peligrosos gestionados adecuadamente 

D) Respecto a sistemas naturales • Superficie total de suelo protegido Capítulo 17. Indicadores Pagina 17‐3 • Superficie de hábitats de interés comunitario protegidos • Conectividad de la red de espacios naturales protegidos (índice de fragmentación ecológica) • Diversidad faunística • Diversidad faunística 

E) Respecto a energía • Evolución de las emisiones de gases de efecto invernadero asociadas a la producción y consumo de energía • Tasa neta energética • Consumo total de energía por sector • Energía total consumida por tipo de fuente • Energía total consumida de fuentes renovables • Consumo medio de electricidad por hogar • Electricidad generada de fuentes renovables 

F) Respecto a población • Tasa de crecimiento poblacional (provincia y comarcas) • Índice de envejecimiento total (provincia y comarcas) • Índice de juventud total (provincia y comarcas) • Tasa neta de migración (provincia y comarcas) 







© 2015 INFANCIA FELIZ. P° de la Castellana 79, Madrid, 28046
Creado con Webnode
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar