Proyecto Final

Recomendaciones para presentar la Actividad:

Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás Proyecto Final.

Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre Luis Novoa PazmiñoFechaActividad Actividad 4 Proyecto FinalTema

Luego de haber estudiado los tipos de vulnerabilidades más comunes, las herramientas usadas para proteger los datos, y haber generado sus procedimientos, está listo para generar la “carta magna” de la seguridad de la red: El manual de procedimientos.

Proyecto Final

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de acción, las tablas de grupos de acceso, la valoración de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, así como las herramientas, y el desarrollo de cada procedimiento en forma algorítmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinámico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario.

INTRODUCCIÓN

Dada la necesidad de garantizar la Seguridad y Protección de la información que se procesa, intercambia reproduce y conserva mediante el uso de las tecnologías informáticas y de comunicaciones con el fin de preservar la confidencialidad, integridad y disponibilidad de la información, se hace imprescin-dible poner en vigor un Plan de Seguridad Informática, que regule la disciplina informática a tener en cuenta por todos los empleados de la empresa.

1 Redes y seguridadProyecto Final

El conjunto de las medidas de seguridad y protección de la información y de disciplina informática constituirán la Seguridad Informática, que comprende medidas administrativas, organizativas, físicas, técnicas, legales y educativas dirigidas a prevenir, detectar y responder a acciones que pongan en riesgo o constituyan una amenaza para la confidencialidad, integridad y disponibilidad de la información que se procese, intercambie, reproduzca y conserve a través de las tecnologías informáticas y de comunicaciones; así como el correcto uso y conservación de las mismas.

OBJETIVOS

 El presente Plan de Seguridad Informática y manual de procedimientos tiene como objetivo fundamental la protección de todas las tecnologías informáticas y de comunicación que posee la Empresa.

La protección va encaminada fundamentalmente a prevenir, detectar y contrarrestar aquellas acciones que pongan en riesgos la confidencialidad, disponibilidad  e integridad de la información y resguardar el equipamiento contra  el acceso no autorizado los locales donde se encuentran.

Los equipos serán protegidos contra las contingencias siguientes:

1.      Contaminación con  virus informáticos.

2.      Destrucción o modificación del Sistema Operativo.

3.      Contra inundaciones e incendios.

4.      Fallas del fluido eléctrico.

5.      Fallos de las Comunicaciones.

6.      Robos.

7.      Fallas en el Hardware.

ALCANCE

 Son objeto de análisis para la elaboración de este Plan de Seguridad y manual de procedimientos las tecnologías informáticas y de comunicación que posee la Empresa.

Este plan abarcará todas las tecnologías informáticas instaladas en la Empresa.

2 Redes y seguridadProyecto Final

ESTRUCTURA DE GESTIÓN.

Dada las características del centro, <nombre del responsable de Seguridad Informática>, es el encargado de la Seguridad Informática. Este  especialista está subordinado a:  ______________________

Entre las funciones,  responsabilidades y obligaciones de la persona referido en el punto anterior se encuentran:

a) Controlar porque se implanten y cumplan todas las medidas de Seguridad Informática que se establezcan en el siguiente  Plan de Seguridad Informática. En caso de incumplimientos de las mismas lo informará por escrito a los niveles superiores.

b) Elaborar los procedimientos indispensables para garantizar la seguridad de los Sistemas Informáticos.

c) Establecer el chequeo previo y posterior de todo soporte magnético que participe en actividades de carácter nacional o internacional, con el objetivo de evitar la posible propagación de algún virus informático y sus consecuencias.

d) Controlar de forma sistemática la integridad de todo software que se encuentra autorizado para su explotación.

e) Velar porque se apliquen los productos de protección actualizados y certificados.

f) Registrar los virus que aparezcan en la empresa y tratar de determinar quienes lo introducen y cómo, sea de forma intencional o no.

g) Ante indicios de contaminación por un virus informático nuevo o desconocido, aislarlo o apagar el equipo y preservar la microcomputadora infestada.

SISTEMA DE MEDIDAS PARA LA SEGURIDAD INFORMÁTICA

Políticas de Seguridad.

Los bienes informáticos a proteger son el  hardware y el software. De ellos  se hará hincapié en el cuidado del software y los datos porque están más expuestos al deterioro por el uso.

3 Redes y seguridadProyecto Final

Las características a priorizar son: la confidencialidad y la disponibilidad.

El control de acceso a la información será  de mínimo privilegio, cada persona tendrá acceso a la información imprescindible para su trabajo.

Personal.

El Responsable de Seguridad Informática de la DPE y el resto del personal que trabajará permanente o eventualmente en estas tecnologías son confiables y estarán autorizados por el Director. El Modelo 9. “Listado nominal de usuarios “, el cual puede ser modificado en interés de la Dirección  y por el  propio Director a propuesta del consejo de Dirección.

Responsabilidades.

Entre las funciones, responsabilidades y obligaciones del especialista responsabilizado con los equipos están:

        Cumplir todas las Medidas para la Seguridad Informática que se establecen en el presente Plan.

        Aplicar los productos antivirus  actualizados y certificados.

        Crear las condiciones necesarias y someter al proceso de cuarentena todo nuevo software y de  que se prevea su generalización.

        Realizar las actividades previstas en la revisión de los soportes magnéticos que se introduzcan en su área de responsabilidad.

        Apoyar y participar en el estudio y aplicación del sistema de seguridad de las tecnologías informáticas y de comunicaciones, y en la determinación de las causas y condiciones que propician un hecho de violación en el uso y conservación de estos equipos y la información que se procese, intercambie, reproduzca y conserve en los mismos.

        El intercambio de sistemas y programas de aplicaciones mediante las tecnologías de comunicaciones se realizará de la siguiente manera: Previamente al envío de información, se utilizará un programa identificador/des contaminador de virus para revisar los ficheros ejecutables que van a ser transmitidos y posteriormente a la recepción de ficheros ejecutables se someterá a los mismos al proceso de cuarentena establecido.

4 Redes y seguridadProyecto Final

El Responsable de Seguridad Informática de la Empresa. Velará por que las aplicaciones cumplan con las medidas de protección orientadas para las tecnologías informáticas e informará a las instancias competentes cuando se produzcan incumplimientos en este sentido.

        Creará un disquete sistema con la salva de los patrones fundamentales; SECTOR DE PARTICIONES, SECTOR DE ARRANQUE, CONFIG.SYS, AUTOEXEC.BAT y cualquier otro necesario, con vistas a la restauración de los mismos al producirse cualquier incidente que las afecte y se actualizará este disquete al modificarse alguno de los patrones.

        Implantación de mecanismos de protección contra acceso no autorizados.

        Analizará periódicamente los registros de auditoría.

        Ejecutará auditorías periódicas  y velará por el cumplimiento de las regulaciones dispuestas en este Plan.

        Capacitar al personal con el objetivo de contribuir al conocimiento y cumplimiento de las medidas establecidas en el presente Plan.

MEDIDAS DE SEGURIDAD FÍSICA.

Áreas a Proteger.

        Oficina del director/a del departamento de sistemas

        Departamento de Sistemas.

Barreras Físicas.

Los locales donde están instaladas las tecnologías informáticas deben tener una construcción sólida, una buena seguridad compuesta por rejas y candados en puertas y rejas.

No existan equipos cercanos que emitan ondas electromagnéticas ni pasen tuberías de agua ni instalaciones sanitarias que puedan afectar las tecnologías. Se debe disponer de extintores, deben ser ubicados en la entrada del local,  el personal deberá ser capacitado para sofocar incendios.

5 Redes y seguridadProyecto Final

Sistema de Control de Acceso.

A los Dptos. Que poseen tecnología informática solo tienen acceso los trabajadores  del mismo, otras personas de la empresa o un visitante externo podrán acceder a estos locales con la autorización del    y siempre en presencia de un trabajador o el propio Jefe de Dpto o Subdirector.

Para el acceso al local,  donde están las tecnologías informáticas, sólo lo autoriza el Jefe de Dpto o Subdirector. El Técnico encargado de dar mantenimiento a este equipamiento  será debidamente  seleccionado así como el resto del personal que pueda recibir los servicios, incluyendo el responsable de seguridad informática que tendrá libre acceso y será el responsable de auditar y velar por que se cumplan todas las medidas de protección y seguridad.

En caso de detectarse violación de las puertas de entrada, se comunicará inmediatamente al Director, al Responsable de Seguridad Informática y al Responsable de Protección Física, los cuales procederán de acuerdo a la magnitud del hecho. Se preservará el lugar hasta que se autorice lo contrario.

Control de Acceso a la Tecnologías.

El Jefe del Dpto. y/o Subdirector en cada caso, determinarán como utilizará el personal bajo su dirección de forma tal que se logre un uso racional de las tecnologías informáticas.

Para que una persona externa al LOCAL tenga acceso a las tecnologías informáticas y de comunicaciones será necesario la autorización del Jefe del Departamento o el Subdirector, y lo harán sin excepción  en presencia de una persona del área.

El personal para la reparación de las tecnologías informáticas de empresa. Tendrá acceso a la microcomputadora que requiera sus servicios, siempre en compañía de una de las personas responsabilizadas con dicha máquina.

Además pueden entrar a todos los locales que poseen tecnología informática.

Soportes de Información.

Identificación.

Todo soporte con información que entre o salga del local, tendrá identificado en su etiqueta el contenido del mismo.

6 Redes y seguridadProyecto Final

A los soportes magnéticos que contengan las salvas se les pondrá en un lugar bien visible una etiqueta que identifique la unidad, la fecha y el nombre de la salva, el nivel de clasificación, la periodicidad.

Conservación.

Se adoptarán las medidas pertinentes para la conservación y custodia de los ficheros creados con fines  de salvaguarda.

Las copias de las salvas (no menos de dos ejemplares) se tendrán en el local destinado para la conservación y custodia del material informático, detallándose nombre de la salva, de soporte y lugar de conservación además se registrará en el registro de salvas. El Responsable de Seguridad Informática del centro tendrá a su cargo la custodia de este material

Destrucción

De procesarse información clasificada, tendrá que hacerse en una máquina no conectada a la red y una vez concluido el trabajo, se borrará la información y se eliminará de la papelera de reciclaje.

La información en diskettes será borrada mediante formateo de los mismos o su destrucción física.

Traslado.

Para el traslado de información proveniente de otra entidad o hacia otra entidad, se anotará en el Registro De Entrada/Recepción de Soportes Magnéticos.

MEDIDAS DE SEGURIDAD TÉCNICA O LÓGICA.

Protección de Entrada a las Tecnologías de Información.

El responsable de seguridad Informática implementará claves de acceso desde el SETUP y en refrescadores de pantallas, siendo imprescindible en las que procesan información clasificada o sensible.

Identificación y Autentificación de Usuarios.

Se incorporarán mecanismos de identificación (código de identificación de usuario) y autenticación (contraseña de usuario).

Se garantizará que las contraseñas que se apliquen tengan un período de

7 Redes y seguridadProyecto Final

vigencia con cotas mínimas de 30 días y máximas 180 días de duración, que posean un mínimo de 8 caracteres alfanuméricos, al menos 2 de ellos de caracteres especiales, y que no permitan la duplicidad de las mismas. La contraseña será cambiada con la periodicidad adecuada, no pudiendo repetirse la misma contraseña antes de que hubiera transcurrido un año, como mínimo, desde que hubiera dejado de utilizarse, Todas estas contraseñas se anotarán en un documento  único,  por el Responsable de Seguridad Informática el cual será guardado con la categoría de restringido en caso de emergencia tendrá acceso a este documento de las claves El Jefe Dpto. El Responsable de seguridad Informática será el encargado de actualizar el documento con las claves.

Control del Uso de los Recursos y de la Información.

Se anotará en el Registro y Control del Tiempo de Máquina la utilización de los recursos (papel, cinta, etc.) El control de la información se hará  por los registros de salva, Entrega, Recepción de soportes, según el caso.

Contabilidad de las acciones que realizan los usuarios.

        Se aplica el control de tiempo de máquina

Traza de Auditoría sobre Acciones que Amenazan la Seguridad.

Se implantarán mecanismos de control que permitan contar con una traza o registro de los principales eventos que se ejecutan y puedan ser de interés para la detección o esclarecimiento ante violaciones de la Seguridad Informática.

Los mecanismos de auditoría registrarán como mínimo: identificación de accesos (autorizados y no autorizados); según puesto de trabajo y usuario; hora, día, mes y año del acceso; movimiento de soportes (magnéticos, de papel, etc.); transmisión a distancia y otros.

Medidas que garantizan la integridad de los ficheros y datos.

        El Responsable de Seguridad Informática de la Empresa tendrá  la obligación de hacer revisiones periódicas en las tecnologías Informáticas.

        Se mantendrá la información actualizada de la configuración, que permita el rápido restablecimiento de la misma y con la menor afectación posible ante la ocurrencia de hechos que así lo requieran.

        El disco duro estará organizado en Directorios y Sub directorios y

8 Redes y seguridadProyecto Final

solamente estarán en la raíz del disco los programas asociados al sistema operativo, con los atributos de sólo lectura y ocultos.

        Quien detecte indicios de difusión de mensajes contrarios al interés social, la moral y las buenas costumbres, o la integridad o seguridad del estado, debe comunicarlo de inmediato al Responsable de Seguridad Informática de la Empresa.

     Protección Contra Programas Dañinos.

        El Responsable de Seguridad Informática de la Empresa exigirá la copra o actualización cada vez que entre una nueva versión del Software antivirus y lo instalará personalmente a las tecnologías informáticas.

        El Responsable de Seguridad Informática de la Empresa estará en la obligación de verificar sistemáticamente (Cada 15 días) el estado de la seguridad de estas tecnologías, brindando de forma diferenciada y preferencial la asesoría a los especialistas que utilizarán este equipamiento cada vez que haya modificaciones en las versiones de los software antivirus y de otro tipo seleccionado para este equipamiento.

        El Responsable de Seguridad Informática de la  Empresa será el encargado de someter a un diagnóstico el software en proceso de cuarentena, utilizando software antivirus nacionales.

        Sé prohíbe terminantemente el intercambio de códigos de virus entre personas o grupo de personas. El Especialistas de Seguridad Informática de la Empresa. Es el único autorizado ante la aparición de un virus.

Seguridad de las Redes de Datos Abiertas.

Las tecnologías informáticas y de comunicaciones preparadas para la transmisión de datos estarán protegidas contra el acceso de personal no autorizado al uso de las mismas.

La transmisión de información a través de redes de transmisión de datos, se hará siempre contando con la autorización correspondiente.

El administrador de la red guardará por un período de un mes, la constancia de las comunicaciones efectuadas por cada uno de los usuarios, así como, el tiempo de comunicación y destinatario.

Se establecerá un "Registro de control de Transmisión"  donde se

9 Redes y seguridadProyecto Final

registren los datos relativos al inventario de los equipos, las personas autorizadas a utilizarlos, protocolo de transmisión y otros.

Corta Fuego para Conexión Segura.

      Se debe disponer de este sistema para seguridad de la red de la empresa.

Control de Acceso.

Solamente tendrá derecho a borrar, modificar y entregar información, software y ficheros en general el personal que opera directamente cada equipo, el cual asumirá la responsabilidad de cualquier hecho que no se ajuste a lo establecido en este Plan.

Nota: Este trabajo final, más que una nota para aprobar el curso, muestra la capacidad que tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su carta de presentación para cualquier empleo en el que se le exija experiencia.

10 Redes y seguridadProyecto Final