Eq 4 seg- fiis -sugerencias para mejorar la seguridad

349 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
349
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Eq 4 seg- fiis -sugerencias para mejorar la seguridad

  1. 1. SUGERENCIAS PARA MEJORAR LA SEGURIDAD EN LAS OPERACIONES DE PD O CENTRO DE CÓMPUTO O ÁREA DE SISTEMAS <br />Integrantes :<br /><ul><li>Díaz Chonta, Junior
  2. 2. Díaz Cuba, Harley
  3. 3. García Arias, Mariano
  4. 4. Guerrero Alfaro, Marco
  5. 5. Gutiérrez Núñez, Alex </li></li></ul><li>Preparar Cuidadosos Procedimientos Para Proteger Programas, Instrucciones Del Proceso<br />
  6. 6. Caso: Protección de un software en una Empresa<br />Programadores<br />debuggers/desensambladores<br />Empresa<br />Descifrar código<br />¿Proteger?<br />Software<br />CADUCACION DE LA CONTRASEÑA Y CAMBIO<br />IMPLANTAR UNA LICENCIA<br /><ul><li>NOMBRE DEL USUARIO
  7. 7. CONTRASEÑA</li></ul>DISPONIBILIDAD DEL SOFTWARE <br />
  8. 8. Empresa<br />IMPLANTAR UNA LICENCIA<br /><ul><li>NOMBRE DEL USUARIO
  9. 9. CONTRASEÑA</li></ul>Software<br />Destinado<br />Jefe de cada Área<br />
  10. 10. DISPONIBILIDAD DEL SOFTWARE <br />Software<br />Manipulan<br />Usuarios<br />
  11. 11. CADUCACION DE LA CONTRASEÑA Y CAMBIO<br />Software<br />Password<br />
  12. 12. Encriptar<br />Software<br />Software para encriptar: CryptoForge<br />
  13. 13. Determinar Procedimientos para Controlar los Programas de Aplicación<br />Adicionalmente a proteger sus programas de Aplicación como activos, es a menudo necesario establecer controles rígidos sobre las modificaciones a los programas, para estar seguros de que los cambios no causan daños accidentales o intencionados a los datos o a su uso no autorizado.<br />
  14. 14. Implementación o Mantenimiento de Software<br />AREA DE TI<br />AREA DE DESARROLLO<br />AREA DE REDES<br />AREA DE SOPORTE<br />CONTROL DE CALIDAD<br />
  15. 15. FASES DEL PROYECTO<br />REQUERIMIENTO<br />Ejm: <br /><ul><li>Mensajería.
  16. 16. Trámitedocumentario.
  17. 17. Rueda de negocios.</li></ul>1) ACTA DE INICIO<br />DESIGNACION DEL EQUIPO <br />DE DESARROLLO<br />
  18. 18. 2) ACTA DE REQUERIMIENTO<br />REUNIONES CON LOS USUARIOS<br />IDENTIFICACION DE LA PLATAFORMA EN EL QUE SE DESARROLLARA EL SOFTWARE.<br />
  19. 19. 3) ACTA DE CONTRUCCION<br />FORMATOS DE DESARROLLO<br />NTP Nro. 12277<br />DISEñO DE LA ARQUITECTURA<br />- ESTRUCTURADA.<br />- VISTA CONTROL.<br />- P. EN CAPAS.<br />
  20. 20. SISTEMA: ADMINISTRADOR DE LA INTRANET<br />1) Máster Page del sistema<br />
  21. 21. 2) Arquitectura de la programación en capas<br />
  22. 22. 3) Capa de Entidades (ejm: ClsArchivoEnt) <br />
  23. 23. 4)Capa Lógica (ejm: ClsDocumentoLog) <br />
  24. 24. 5) Capa de Acceso a Datos (ejm: ClsDoucmentoDat)<br />
  25. 25. 6) UI – Interfaz de Usuario (ejm: adm_documentos.aspx)<br />
  26. 26. 4) ACTA DE CONTROL DE CALIDAD<br />PARTICIPANTES:<br />- JEFE DE AREA DE TI<br />- USUARIO LIDER<br />- ENCARGADO DEL AREA DE CONTROL DE C.<br />LOCACION:<br />- SERVIDOR DE PRUEBAS.<br />
  27. 27. 5) ACTA DE CIERRE O PASE A PRODUCCION<br />SERVIDOR DE PRODUCCION.<br />SOFTWARE / FECHA DE EJECUCION.<br />MAUAL DE USUARIO.<br />MANUAL DE INSTALACION.<br />
  28. 28. PREPARAR PROCEDIMIENTOS DE CONTROL PARA EL USO DE LOS REPORTES<br />
  29. 29. CASO: REPORTES DE BUSINESS INTELLIGENCE ACERCA DEL USO DE CAJEROS AUTOMATICOS.<br />
  30. 30.
  31. 31.
  32. 32.
  33. 33. Detrás de todos estos Reportes existen un conjuntos de Documentaciones, que se deben realizar como buenas practicas; dando claro alusión a los dominios del ISO 17799.<br />Los reportes están supeditados al tipo de documento que son; por ejemplo tipo de reporte por estrategia.<br />
  34. 34. PROCEDIMIENTOS<br />DEFINIR CRITERIOS DE CONTROL DE DOCUMENTO<br />CONTROL DE DOCUMENTOS INTERNOS<br />ELABORACION DE REPORTES:<br />IDENTIFICACION DE REPORTES:<br />APROBACION DEL REPORTE:<br />ACTUALIZACION DEL REPORTE:<br />CONTROL DE DOCUMENTOS EXTERNOS<br /> Identificar los documentos externos aplicables.<br /> Mantener la última versión del documento.<br />Distribuir a los usuarios que los necesiten.<br />
  35. 35. CONTROL DE DOCUMENTOS INTERNOS: <br />PROCEDIMIENTOS:<br />ELABORACION DE REPORTES:<br />IDENTIFICACION DE REPORTES:<br />APROBACION DEL REPORTE:<br />ACTUALIZACION DEL REPORTE:<br />
  36. 36. ACTUALIZACION DEL REPORTE:<br />En caso de que fuese necesaria la entrega de copia controlada de los documentos internos aprobados, el Encargado de la Distribución de cada Sistema, deberá llevar un control de dichos documentos, utilizando la planilla “Distribución de Documentos Internos” (ver Anexo 2).<br />Para identificar y velar por los documentos relacionados con el SGC que se reciben físicamente en aquellas áreas donde no cuenten con intranet, cada área nombrará a un responsable que ocupará el cargo de Receptor de Documentos.<br />Esta persona será la responsable de archivarlos, protegerlos del deterioro y facilitarlos para su uso.<br />
  37. 37.
  38. 38.
  39. 39. CONTROL DE DOCUMENTOS EXTERNOS:<br />Para el caso de los reportes del tipo de documentación externa, se da en casos (o situaciones) donde empresas clientes o asociadas, piden informes, reportes, análisis a otra organización a través del uso de BI también.<br />Cada área elegirá el mejor método para revisar y mantener actualizados los documentos externos, dada la naturaleza y origen de los mismos. Sin embargo, al menos, se deberá tener presente las siguientes consideraciones: <br /> 1) Identificar los documentos externos aplicables.<br /> 2) Mantener la última versión del documento.<br /> 3) Distribuir a los usuarios que los necesiten.<br />
  40. 40.
  41. 41. ESTABLECER PROCEDIMIENTOS E INSTRUCCIONES PARA LOS OPERADORES DEL SISTEMA<br />
  42. 42. INSTRUCCIONES DE TRABAJO:<br />Son guías detalladas y escritas, que establecen el método de trabajo a seguir paso a paso para la realización de una tarea concreta o grupo de tareas desde su comienzo hasta su finalización, recogiendo los riesgos que existen en cada uno de los pasos y las medidas a adoptar para eliminarlos o reducirlos.<br /> <br />PROCEDIMIENTOS DE TRABAJO: <br /> Son un conjunto de reglas escritas, más generales que las Instrucciones de trabajo, de obligado cumplimiento que marcan pautas de conducta laboral en la realización de tareas<br />
  43. 43. INSTRUCCIÓN Y PROCEDIMIENTO DE TRABAJO<br />ELABORACION<br /> 1.1 CODIGO<br />1.2 DENOMINACION<br /> Se indicará el trabajo que la Instrucción normaliza<br />1.3 SECUENCIA DEL TRABAJO<br />1.4 RIESGOS POTENCIALES<br />1.5 MEDIDAS A TOMAR<br />
  44. 44. 2. APROBACION<br />3. DIFUSION<br /> Las Instrucciones han de ser comentadas con cada empleado por parte del Responsable de Área en el momento de su contratación o en un posible cambio de puesto.<br /> 4. REVISION<br />
  45. 45. CASO PRACTICO<br />
  46. 46. El 80% del downtime no planificado es causado por operaciones mal ejecutadas o aplicaciones mal administradas<br />
  47. 47. USE RASTROS DE AUDITORÍAS O REGISTROS CRONOLÓGICOS (LOGS) DE TRANSACCIÓN COMO MEDIDAS DE SEGURIDAD.<br />
  48. 48. Definición<br />LOG es un registro oficial de eventos durante un rango de tiempo en particular<br />
  49. 49. Importancia de un LOG<br /> La importancia de los LOGs es que te permite:<br />La Recuperación ante incidentes de seguridad <br />La Detección de comportamiento inusual<br />Información para resolver problemas<br />Evidencia legal<br />
  50. 50. Arquitectura del registro de un LOG<br />Centralizada<br /> Ventajas<br />Se requiere de un solo punto de almacenamiento de LOGs.<br /> Desventajas<br />• Existe un solo punto de falla.<br />• Se necesitan muchos recursos para almacenamiento y redundancia<br />Descentralizada<br /> Ventajas<br /><ul><li> No hay un solo punto de falla.
  51. 51. Los registros se almacenan de acuerdo a unaclasificación</li></ul> Desventajas<br />• Se requiere de mas equipo.<br />
  52. 52. CasoPráctico<br /> Tenemos una tabla en la base de datos, la cual no tiene campos de auditoria<br />por la cual no se sabe que fecha se han registrado esos usuarios para cualquier evento no deseado que se pueda suscitar por parte de cualquiera de estos usuarios<br />
  53. 53. CasoPráctico<br /> Donde:<br />id_usuario: es el usuario que realiza la acción.<br />acción: es la acción que se realiza, ya sea de loguear, actualizar, insertar, eliminar, etc.<br />tabla: la tabla afectada tras la acción realizada por el usuario.<br />fecha: la fecha en que se realizo la acción.<br />hora: la hora en que se realizo la acción. <br />
  54. 54. CONCLUSIONES<br />Existen gran número de aplicaciones para empaquetar nuestro programa, hay bastantes gratuitos pero siempre hay que leerse las condiciones de uso.<br />Conforme a la tecnología va avanzando, van apareciendo nuevas soluciones, nuevas formas de programación, nuevos lenguajes y un sin fin de herramientas que intentan realizar el trabajo del desarrollador un poco más fácil y así mismo mejor control para controlar nuestros cambios a nuestros datos.<br /> <br />Generar data de auditoría en una base de datos es una ventaja y a la vez un problema ya que acarrea costos en espacio de almacenamiento y tiempo en manejarla. Pero aún así es necesaria en ciertas actividades, especialmente la financiera.<br />Según la experiencia de Foundstone, la mayoría de las fallas de seguridad son causadas porque a los desarrolladores y a otras partes interesadas del ciclo de vida de desarrollo de software no les han dicho lo que deben y no deben hacer. Esto se logra de mejor manera mediante el uso de políticas y procedimientos.<br /> <br />
  55. 55. RECOMENDACIONES<br />Al momento de desarrollar un software se deben tener en cuenta los Estándares internacionales o nacionales para el uso de las buenas prácticas de desarrollo para tener la certeza de que nuestros aplicativos cumplan con los objetivos propuestos.<br />La auditoría debería realizarse a ciertas tablas de una base de datos y no a todas, ya que complicaría aún más el proceso de administración.<br /> <br />Las Organizaciones deben estar acorde en al ISO 17799, en cuanto al control del uso de reportes; y el Sector Bancario debe regirse a la Circular G140.<br /> <br />Las empresas deben dar a conocer a sus empleados los procedimientos e instrucciones que ellos deben aplicar en el área en el cual se van a desenvolver dando a conocer también las sanciones si estos (procedimientos e instrucciones) no fuesen cumplidos.<br />
  56. 56. GRACIAS….!!!<br />

×