Universidad Tecnológica de Panamá

Guía para el Desarrollo de
un Plan de Seguridad
Políticas y Procedimientos de Seguridad...
Guía para el Desarrollo de un Plan de Seguridad 2012

Universidad Tecnológica de Panamá
Centro Regional de Bocas del Toro
...
Guía para el Desarrollo de un Plan de Seguridad 2012

Índice
Contenido
Introducción .........................................
Guía para el Desarrollo de un Plan de Seguridad 2012

Introducción
En este trabajo encontraremos la política y procedimien...
Guía para el Desarrollo de un Plan de Seguridad 2012
¿Qué protege una política de seguridad?

La certificación ISO 17799 d...
Guía para el Desarrollo de un Plan de Seguridad 2012
Políticas de seguridad para utilitarios
Políticas de seguridad en car...
Guía para el Desarrollo de un Plan de Seguridad 2012
Políticas de seguridad en contraseñas y control de acceso
Políticas g...
Guía para el Desarrollo de un Plan de Seguridad 2012
Políticas específicas para contraseñas de navegación en el web acceso...
Guía para el Desarrollo de un Plan de Seguridad 2012
El firewall de la empresa debe presentar una postura de negación
pree...
Conclusión
Es importante las políticas de seguridad en el software para las empresas porque
aseguran la aplicación correct...
Guía para el Desarrollo de un Plan de Seguridad 2012

Bibliografía
Políticas de Seguridad - Monografias.com

Por ejemplo, ...
Upcoming SlideShare
Loading in …5
×

Guía para el Desarrollo de un Plan de Seguridad - Políticas y Procedimientos

925 views
696 views

Published on

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
925
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Guía para el Desarrollo de un Plan de Seguridad - Políticas y Procedimientos

  1. 1. Universidad Tecnológica de Panamá Guía para el Desarrollo de un Plan de Seguridad Políticas y Procedimientos de Seguridad para el Software Lic. En Desarrollo de Software 12 1
  2. 2. Guía para el Desarrollo de un Plan de Seguridad 2012 Universidad Tecnológica de Panamá Centro Regional de Bocas del Toro Facultad de Ingeniería de Sistemas Computacionales Licenciatura en Desarrollo de Software Asignatura Seguridad en los Sistemas de Información Guía para el Desarrollo de un Plan de Seguridad: Políticas y Procedimientos de Seguridad para el Software. Estudiantes: Yessenia Martínez Neftalí Saldaña Profesora Ensy Santamaría Changuinola, 26 de junio de 2012. 2 Políticas y Procedimientos de Seguridad para el Software
  3. 3. Guía para el Desarrollo de un Plan de Seguridad 2012 Índice Contenido Introducción ........................................................................................................................................ 4 ¿Qué protege una política de seguridad? ................................................................................... 5 ¿Por qué son tan importantes las políticas de seguridad? ......................................................... 5 Políticas De Seguridad En Software .................................................................................................... 5 Políticas de seguridad para utilitarios ......................................................................................... 6 Políticas de seguridad en carpetas compartidas ......................................................................... 6 Políticas de seguridad en cuentas ............................................................................................... 6 Políticas generales para cuentas de la red, sistema, correo electrónico, acceso remoto .......... 6 Políticas específicas para cuentas del sistema ............................................................................ 6 Políticas específicas para cuentas de correo electrónico............................................................ 6 Políticas de seguridad en contraseñas y control de acceso ........................................................ 7 Políticas generales para contraseñas de cuentas de la red, sistema, correo electrónico, acceso remoto, FTP y web ...................................................................................................................... 7 Políticas específicas para contraseñas de navegación en el web acceso remoto, FTP ............... 8 Políticas específicas para contraseñas correo electrónico.......................................................... 8 Políticas de seguridad contra virus: ............................................................................................ 8 Políticas de seguridad en redes con conexión a internet ........................................................... 8 Políticas de seguridad para software .......................................................................................... 8 Políticas de seguridad para firewall ............................................................................................ 8 Conclusión ......................................................................................................................................... 10 Bibliografía ........................................................................................................................................ 11 3 Políticas y Procedimientos de Seguridad para el Software
  4. 4. Guía para el Desarrollo de un Plan de Seguridad 2012 Introducción En este trabajo encontraremos la política y procedimientos para el software de una empresa. Las empresas usarán software legal y autorizado con las debidas licencias, cuya adquisición será aprobada por el Departamento de Sistemas. Los administradores de Red deberán actualizar en forma permanente los sistemas operativos y software utilizado por la empresa, con el fin de que nuevas aplicaciones corran sin problemas. En caso que el usuario se ausente de su estación de trabajo el sistema debe automáticamente poner en blanco la pantalla, suspender la sesión y solicitar una contraseña para restablecer la sesión Se deberá realizar chequeos periódicos al software instalado de cada estación de trabajo o servidor con el fin de detectar software innecesario. Sera una guía útil para la implementación de una política de seguridad para la empresa en el futuro. Partiendo de la visión y misión de cada empresa. 4 Políticas y Procedimientos de Seguridad para el Software
  5. 5. Guía para el Desarrollo de un Plan de Seguridad 2012 ¿Qué protege una política de seguridad? La certificación ISO 17799 define una política de seguridad como un documento que ofrece instrucciones de administración y soporte para la seguridad de la información de acuerdo con los requisitos empresariales y las leyes y reglamentaciones relevantes. La política de seguridad de la aplicación no debe ser definida por el proceso de desarrollo sino que solamente debe implementar los requisitos de seguridad establecidos en una organización. ¿Por qué son tan importantes las políticas de seguridad? Es fundamental reconocer la necesidad de políticas de seguridad de aplicaciones porque sin tales políticas no existe una forma confiable de definir, implementar y hacer cumplir un plan de seguridad entro de una organización. ¿El plan se seguridad física de su compañía incluye por ejemplo políticas y procedimientos relacionados con accesos y salidas, o la existencia de alarmas de incendios o el acceso a zonas restringidas? Si se considera que la aplicación forma parte de este mismo entorno físico, será más sencillo ver cómo este software, que por ejemplo puede administrar su nómina de pagos e información contable, requiere el mismo proceso de pensamiento para la seguridad que el acceso físico a los activos materiales de su empresa. Políticas De Seguridad En Software Políticas de seguridad en sistemas operativos y software instalado La empresa usará software legal y autorizado con las debidas licencias, cuya adquisición será aprobada por el Departamento de Sistemas. Los administradores de Red deberán actualizar en forma permanente los sistemas operativos y/o software utilizado por la empresa, con el fin de que nuevas aplicaciones corran sin problemas. En caso que el usuario se ausente de su estación de trabajo el sistema debe automáticamente poner en blanco la pantalla, suspender la sesión y solicitar una contraseña para restablecer la sesión Se deberá realizar chequeos periódicos al software instalado de cada estación de trabajo o servidor con el fin de detectar software innecesario. 5 Políticas y Procedimientos de Seguridad para el Software
  6. 6. Guía para el Desarrollo de un Plan de Seguridad 2012 Políticas de seguridad para utilitarios Políticas de seguridad en carpetas compartidas La carpeta compartida, dentro de una Red, deben tener una Clave de Acceso, la misma que deberá ser cambiada periódicamente para evitar el ingreso de cualquier persona. Se debe dar permisos lectura, escritura, o total a la carpeta de acuerdo a las necesidades de cada usuario con el fin de proteger la información. Políticas de seguridad en cuentas Políticas generales para cuentas de la red, sistema, correo electrónico, acceso remoto Los privilegios de las cuentas concedidos a los usuarios deben ser determinados de acuerdo a las funciones que desempeña. Una cuenta debe ser cancelada por salida del empleado para evitar que el mismo pueda acceder al sistema y alterar la información. El nombre de cuenta es único, es decir no permita la creación de una misma cuenta más de una vez. Políticas específicas para cuentas del sistema El periodo de tiempo de inactividad de la cuenta del sistema es de 3 minutos y restablecimiento de la sesión requiere que el usuario proporcione su contraseña, para que personal no autorizado ingrese a la cuenta. La frecuencia de mantenimiento de las cuentas es de mínimo seis meses Políticas específicas para cuentas de correo electrónico El usuario bajo ninguna circunstancia permitirá el uso de su cuenta de correo electrónico por otros usuarios. Deberá asignarse una capacidad de almacenamiento fija par cada una de las cuentas de correo electrónico de los empleados. 6 Políticas y Procedimientos de Seguridad para el Software
  7. 7. Guía para el Desarrollo de un Plan de Seguridad 2012 Políticas de seguridad en contraseñas y control de acceso Políticas generales para contraseñas de cuentas de la red, sistema, correo electrónico, acceso remoto, FTP y web Las contraseñas deben estar formadas por: o Un mínimo de 6 caracteres. o Usar el alfabeto alternando mayúsculas con minúsculas y caracteres no alfabéticos como: dígitos o signos de puntuación para dificultar su identificación. Usar contraseñas que sean fáciles de recordar, así no tendrá que escribirlas. Las contraseñas no deben formarse con información relacionada con el usuario que pueda adivinarse fácilmente como números de matrículas, de automóviles, de teléfono, del seguro social, la marca de su automóvil, el nombre de la calle donde vive, etc. Las contraseñas no deben crearse con palabras que aparezcan en diccionarios de español ni de ningún otro idioma extranjero, listas ortográficas ni ninguna otra lista de palabras para que no sea fácil de adivinar. La contraseña inicial emitida a un nuevo usuario sólo debe ser válida para la primera sesión. En ese momento, el usuario debe escoger otra contraseña para evitar el ingreso no autorizado a la cuenta. Las contraseñas predefinidas que traen los equipos nuevos tales como ruteadores, switches, entre otros, deben cambiarse inmediatamente al ponerse en servicio el equipo ya que esta clave es conocida por el proveedor. Se debe cambiar inmediatamente la contraseña en caso de creer que esta haya sido comprometida Se debe cambiar una contraseña cada mes para evitar que sea descubierta. El usuario no debe guardar su contraseña en una forma legible en archivos en disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser encontrada. Nunca debe compartirse la contraseña o revelarla a otros. El hacerlo expone al usuario a las consecuencias por las acciones que los otros hagan con esa contraseña. Una misma contraseña no se debe usar para acceder a servicios diferentes. Para evitar el acceso de intrusos se debe limitar a 3 el número consecutivo de intentos infructuosos de introducir la contraseña, luego de lo cual la cuenta involucrada queda bloqueada y se alerta al Administrador del sistema. 7 Políticas y Procedimientos de Seguridad para el Software
  8. 8. Guía para el Desarrollo de un Plan de Seguridad 2012 Políticas específicas para contraseñas de navegación en el web acceso remoto, FTP El cambio de clave o password sólo se hará de manera personal y directa con el Administrador del Servicio. Políticas específicas para contraseñas correo electrónico El usuario debe cambiar el password inicial entregado por el administrador en el primer registro que haga en su cuenta de correo. Políticas de seguridad contra virus: En todos los equipos de la empresa debe existir una herramienta antivirus ejecutándose permanentemente y en continua actualización. Deberá utilizarse más de una herramienta antivirus en los servidores, para así disminuir el riesgo de infección. Deberá existir un procedimiento a seguir en caso que se detecte un virus en algún equipo como por ejemplo: notificar inmediatamente al Jefe de Informática y poner la estación de trabajo en cuarentena hasta que el problema sea resuelto para evitar el contagio a toda la red. Se debe ejecutar de forma regular las comprobaciones de virus en estaciones de trabajo y servidores para evitar el ingreso de virus a la red. Los diskettes u otros medios de almacenamiento no deben usarse en cualquier computadora de la Compañía a menos que se haya previamente verificado que están libres de virus. El administrador debe bloquear los sitios Internet que se consideren sospechoso de ser fuentes de virus. Políticas de seguridad en redes con conexión a internet Se cumplen todas las especificadas en las Políticas de Seguridad en Redes Locales y además las siguientes: Políticas de seguridad para software Políticas de seguridad para firewall La red que se conecta a la Internet debe tener un Firewall o dispositivo de seguridad para controlar el acceso a la red y evitar el ingreso de intrusos. 8 Políticas y Procedimientos de Seguridad para el Software
  9. 9. Guía para el Desarrollo de un Plan de Seguridad 2012 El firewall de la empresa debe presentar una postura de negación preestablecida, configurado de manera que se prohíban todos los protocolos y servicios, habilitando lo necesario. 9 Políticas y Procedimientos de Seguridad para el Software
  10. 10. Conclusión Es importante las políticas de seguridad en el software para las empresas porque aseguran la aplicación correcta de las medidas de seguridad. Con la ilusión de resolver los problemas de seguridad expeditamente, en muchas organizaciones simplemente se compran uno o más productos de seguridad. En estos casos, a menudo se piensa que nuevos productos (ya sea en hardware, software, o servicios), es todo que se necesita. Luego que se instalan los productos, sin embargo, se genera una gran desilusión al darse cuenta que los resultados esperados no se han materializado. En un número grande de casos, esta situación puede atribuirse al hecho que no se ha creado una infraestructura organizativa adecuada para la seguridad informática. Un ejemplo puede ayudar a aclarar este punto esencial. Supóngase que una organización ha adquirido recientemente un producto de control de acceso para una red de computadoras. La sola instalación del sistema hará poco para mejorar la seguridad. Sea debe primero decidir cuáles usuarios deben tener acceso a qué recursos de información, preferiblemente definiendo cómo incorporar estos criterios en las políticas de seguridad. También deben establecerse los procedimientos para que el personal, técnicas implante el control de acceso de una manera cónsona con estas decisiones. Además debe definir la manera de revisar las bitácoras (logs) y otros registros generados por el sistema. Éstas y otras medidas constituyen parte de la infraestructura organizativa necesaria para que los productos y servicios de seguridad sean efectivos. Una empresa necesita de documentación sobre políticas, definiciones de responsabilidades, directrices, normas y procedimientos para que se apliquen las medidas de seguridad, los mecanismos de evaluación de riesgos y el plan de seguridad. Las políticas y una estimación preliminar de los riesgos son el punto de partida para establecer una infraestructura organizativa apropiada, es decir, son los aspectos esenciales desde donde se derivan los demás. Continuando con el mismo ejemplo anterior de control de acceso, se debería primero llevar a cabo un análisis de riesgo de los sistemas de información. Esta evaluación de los riesgos también ayudará a definir la naturaleza de las amenazas a los distintos recursos, así como las contramedidas pertinentes. Luego pueden establecerse las políticas a fin de tener una guía para la aplicación de tales medidas. 10
  11. 11. Guía para el Desarrollo de un Plan de Seguridad 2012 Bibliografía Políticas de Seguridad - Monografias.com Por ejemplo, la metodología a usar para probar el software. Un documento sobre políticas de seguridad contiene, entre muchos aspectos: definición de ... http://www.monografias.com/trabajos11/seguin/seguin.shtml Políticas de auditoría de seguridades en redes locales de JA Arias Tapia – 2007 Las políticas de auditoría de seguridad en redes locales se basan en los siguientes puntos: . División de recursos de la red . Políticas de seguridad . Auditoría .. bibdigital.epn.edu.ec/handle/15000/140 11 Políticas y Procedimientos de Seguridad para el Software.

×