Grupo 1 responsabilidad de usuario

3,508 views

Published on

...esta es la documentacion del primer grupo.

1 Comment
1 Like
Statistics
Notes
No Downloads
Views
Total views
3,508
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
78
Comments
1
Likes
1
Embeds 0
No embeds

No notes for slide

Grupo 1 responsabilidad de usuario

  1. 1. UNIVERSIDAD AUTÓNOMA GABRIEL RENÉ MORENO UNIDAD DE POSTGRADO FACULTAD INTEGRAL DEL CHACO DIPLOMADO EN SEGURIDAD INFORMÁTICA RESPONSABILIDADES DE USUARIOINTEGRANTES: ORIEL ARANCIBIA FERNANDEZ MIGUEL ANGEL JUSTINIANO VERA GUSTAVO MARTINEZ SALDIAS YASMANI MARTINEZ MAMANI GABRIELA INES JERÉZ ALVAREZ GRACIELA BAUTISTA G.MODULO IV: CONTROL DE ACCESO AL SISTEMADOCENTE: ING. KAREM INFANTAS SOTO CAMIRI-BOLIVIA
  2. 2. MANUAL DE NORMAS Y POLITICAS Tabla de contenido1. RESUMEN ........................................................................................................................................ 22. INTRODUCCION ............................................................................................................................... 23. POLÍTICAS DE CONTROL DE ACCESOS ............................................................................................. 4 3.1 Generalidades ........................................................................................................................... 4 3.2 Misión ........................................................................................................................................ 4 3.3 Visión ......................................................................................................................................... 4 3.4 Objetivo ..................................................................................................................................... 4 3.5 Alcance ...................................................................................................................................... 54. POLITICAS Y PROCEDIMIENTOS ...................................................................................................... 5 4.1 Requerimientos para el Control de Acceso ............................................................................... 5 4.2 RESPONSABILIDAD DE USUARIO ............................................................................................... 65. ORGANIGRAMA CASO DE ESTUDIO PYME COMERCIAL .................................................................. 76. CASO DE ESTUDIO (SITUACION IDEAL) ........................................................................................... 87. PRESUSPUESTO ............................................................................................................................... 98. ANEXOS ......................................................................................................................................... 10 8.1 ANEXO ..................................................................................................................................... 10 SECURIA–SGSI PROGRAMA DE ADMINISTRACION........................................................................ 10 8.2 ANEXO - RESPONSABILIDAD DE LOS USUARIOS FRENTE A LOS RECURSOS INFORMÁTICOS.. 12 8.3 ANEXO - CONTRASEÑAS – COMO ELEGIRLAS, DÓNDE CAMBIARLAS ..................................... 138.3 ANEXO - ....................................................................................................................................... 139. REFERENCIA BIBLIGRAFICA ........................................................................................................... 14 1
  3. 3. MANUAL DE NORMAS Y POLITICASMANUAL DE NORMAS Y POLITICAS DE SEGURIDADINFORMATICA1. RESUMENPara impedir el acceso no autorizado a los sistemas de información se deben implementarprocedimientos formales para controlar la asignación de derechos de acceso a lossistemas de información, bases de datos y servicios de información, y estos deben estarclaramente documentados, comunicados y controlados en cuanto a su cumplimiento.El objetivo es Implementar seguridad en los accesos de usuarios por medio de técnicas deautenticación y autorización. Registrar y revisar eventos y actividades críticas llevadas acabo por los usuarios en los sistemas. Concientizar a los usuarios respecto de suresponsabilidad frente a la utilización de contraseñas y equipos.2. INTRODUCCIONLos requerimientos de seguridad que involucran las tecnologías de la información, enpocos años han cobrado un gran auge, y más aún con las de carácter globalizador comolos son la de Internet y en particular la relacionada con el Web, la visión de nuevoshorizontes explorando más allá de las fronteras naturales, situación que ha llevado laaparición de nuevas amenazas en los sistemas computarizados. Llevado a que muchasorganizaciones gubernamentales y no gubernamentales internacionales desarrollenpolíticas que norman el uso adecuado de estas destrezas tecnológicas y recomendacionespara aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en losbienes y servicios de las entidades. De esta manera, las políticas de seguridad eninformática que proponemos emergen como el instrumento para concientizar a susmiembros acerca de la importancia y sensibilidad de la información y servicios críticos, dela superación de las fallas y de las debilidades, de tal forma que permiten a la organizacióncumplir con su misión. El proponer esta política de seguridad requiere un alto compromisocon la institución, agudeza técnica para establecer fallas y deficiencias, constancia pararenovar y actualizar dicha política en función del ambiente dinámico que nos rodea. Lapropuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenircon las garantías básicas del individuo, y no pretende ser una camisa de fuerza, y más bienmuestra una buena forma de operar el sistema con seguridad, respetando en todomomento estatutos y reglamentos vigentes de la Institución. Algunas acciones que por lanaturaleza extraordinaria tuvieron que ser llevadas a la práctica como son: los inventariosy su control, se mencionan, así como todos los aspectos que representan un riesgo o lasacciones donde se ve involucrada y que compete a las tecnologías de la información; se 2
  4. 4. MANUAL DE NORMAS Y POLITICAShan contemplado también las políticas que reflejan la visión de la actual administraciónrespecto a la problemática de seguridad informática organizacional.Un Sistema Administrativo de Seguridad de la Información (Information SecurityManagement System ISMS) es una forma sistemática de administrar la informaciónSensible de una compañía, para que permanezca segura. Abarca a las personas, losprocesos y las Tecnologías de la Información. BSI ha publicado un reglamento de prácticaspara estos sistemas, el ISO/IEC 17799, que está siendo internacionalmente adoptado. Laseguridad de la información no termina al implementar el más reciente "firewall", o alsub-contratar a una compañía de seguridad las 24 horas. La forma total de la Seguridad dela Información, y la integración de diferentes iniciativas de seguridad, necesitan seradministradas para que cada elemento sea completamente efectivo. Aquí es donde entrael Sistema Administrativo de Seguridad de la Información - que le permite a la empresa,poder coordinar sus esfuerzos de seguridad con mayor efectividad.ISO/IEC 27000 es unconjunto de estándares desarrollados -o en fase de desarrollo- por ISO (InternationalOrganization for Standardization) e IEC (International Electrotechnical Commission), queproporcionan un marco de gestión de la seguridad de la información utilizable porcualquier tipo de organización, pública o privada, grande o pequeña. La información es unactivo vital para el éxito y la continuidad en el mercado de cualquier organización, por loque el aseguramiento de dicha información y de los sistemas que la procesan ha de ser unobjetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad dela información, es necesario implantar un sistema que aborde esta tarea de formametódica, documentada y basada en unos objetivos claros de seguridad y una evaluaciónde los riesgos a los que está sometida la información de la organización. Seguidamente seresumen las distintas normas que componen la serie ISO 27000: ISO/IEC 27000 proporcionará una visión general del marco normativo y un vocabulario común utilizado por todas las normas de la serie. ISO/IEC 27001:2005 Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI). Publicada en 2005. ISO/IEC 27002:2005 Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizaren la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada en 2007. 3
  5. 5. MANUAL DE NORMAS Y POLITICAS3. POLÍTICAS DE CONTROL DE ACCESOS3.1 GeneralidadesEl acceso por medio de un sistema de restricciones y excepciones a la información es labase de todo sistema de seguridad informática. Para impedir el acceso no autorizado a lossistemas de información se deben implementar procedimientos formales para controlar laasignación de derechos de acceso a los sistemas de información, bases de datos y serviciosde información, y estos deben estar claramente documentados, comunicados ycontrolados en cuanto a su cumplimiento.La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto esnecesario concientizar a los mismos acerca de sus responsabilidades por elmantenimiento de controles de acceso eficaces, en particular aquellos relacionados con eluso de contraseñas y la seguridad del equipamiento.3.2 MisiónEstablecer las directrices necesarias para el correcto funcionamiento de un sistema degestión para la seguridad de la información, enmarcando su aplicabilidad en un procesode desarrollo continuo y actualizable, apegado a los estándares internacionalesdesarrollados para tal fin.3.3 VisiónConstituir un nivel de seguridad, altamente aceptable, mediante el empleo y correctofuncionamiento de la normativa y políticas de seguridad informática, basado en el sistemade gestión de seguridad de la información, a través de la utilización de técnicas yherramientas que contribuyan a optimizar la administración de los recursos informáticosde la organización.3.4 Objetivo Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información. Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización. Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos. 4
  6. 6. MANUAL DE NORMAS Y POLITICAS3.5 Alcance La Política definida en este documento se aplica a todas las formas de acceso de aquellos a quienes se les haya otorgado permisos sobre los sistemas de información, bases de datos o servicios de información de la empresa, cualquiera sea la función que desempeñe. Asimismo se aplica al personal técnico que define, instala, administra y mantiene los permisos de acceso y las conexiones de red, y a los que administran su seguridad.4. POLITICAS Y PROCEDIMIENTOS4.1 Requerimientos para el Control de AccesoObjetivo.- controlar el acceso a la informaciónPolítica de Control de AccesosControl.- Se debiera establecer, documentar y revisar la política de acceso en base a losrequerimientos comerciales y de seguridad para el acceso.En la aplicación de controles de acceso, se contemplarán los siguientes aspectos: a) Identificar los requerimientos de seguridad de cada una de las aplicaciones. b) Identificar toda la información relacionada con las aplicaciones. c) Establecer criterios coherentes entre esta Política de Control de Acceso y la Política de Clasificación de Información de los diferentes sistemas y redes. d) Identificar la legislación aplicable y las obligaciones contractuales con respecto a la protección del acceso a datos y servicios. e) Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría depuestos de trabajo.SOLUCION: Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación. Registrar y revisas eventos y actividades criticas llevados por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas. 5
  7. 7. MANUAL DE NORMAS Y POLITICAS4.2 RESPONSABILIDAD DE USUARIOOBJETIVO.- Objetivo: Evitar el acceso de usuarios no-autorizados, evitar poner en peligrola información y evitar el robo de información y los medios de procesamiento de lainformación.USO DE CLAVES SECRETASControl: Se debiera requerir a los usuarios que sigan buenas prácticas de seguridad en laselección y uso de claves secretas.SOLUCIONES: Concientizar al usuario a manejar una contraseña que cumplan condiciones de clave segura. Programar tareas mensuales de cambio de contraseña. expired user password: Automatiza la obligación de cambiar la contraseña a usuarios registrados cada 30 días. Este software se aplica a usuarios que se requiera que cambien sus contraseñas cada sierto tiempo.EQUIPO DE USUARIOS DESATENDIDOSControl: Los usuarios deberían asegurar que los equipos tenga la protección adecuada.SOLUCIONES: Los usuarios deberán garantizar que los equipos sean protegidos adecuadamente. El administrador de sistemas debe coordinar con el encargado de ventas las tareas de concientización a todos los usuarios, a cerca de los procedimientos de seguridad para su respectiva protección. Proteger los ordenadores o terminales mediante un bloqueo de seguridad o control equivalente. Ejemplo contraseña de acceso cuando no se utiliza. Proteger mediante bloqueo adecuado, por ejemplo, un protector de pantallas protegidas por contraseña.POLITICA DE ESCRITORIO Y PANTALLA LIMPIOControl: Se debiera adoptar una política de escritorio limpio para papeles y medios dealmacenaje removibles y una política de pantalla limpia para los medios de procesamientode la información.SOLUCIONES: 6
  8. 8. MANUAL DE NORMAS Y POLITICAS El servidor de dominio deberá bloquear cualquier estación de trabajo con un protector de pantalla, que tenga un tiempo de inactividad mayor a un minuto. La práctica de guardar las contraseñas en papel adherido al monitor o áreas cercanas al equipo de trabajo, es una falta grave y sancionable. El gestor de seguridad debe desactivar cualquier característica de los sistemas o aplicaciones que les permita a los usuarios, almacenar localmente sus contraseñas. El usuario deberá estar consciente de los problemas de seguridad que acarrea la irresponsabilidad en la salvaguarda y uso de su contraseña. Usar destructoras de papel en caso que se quiera eliminar algún documento.5. ORGANIGRAMA CASO DE ESTUDIO PYME COMERCIAL Administrador T. I. Comision Ventas Contabilidad Importaciones Sucursal 1 Sucursal 2 7
  9. 9. MANUAL DE NORMAS Y POLITICAS6. CASO DE ESTUDIO (SITUACION IDEAL)CICLO DE MEJORA CONTINUAPara establecer y gestionar este sistema de gestión de la seguridad de la información seutilizaremos el ciclo PDCA. Esta metodología ha demostrado su aplicabilidad y hapermitido establecer la mejora continua en organizaciones de todas clases.El modelo PDCA o “Planificar-Hacer-Verificar-Actuar”, tiene una serie de fases y accionesque permiten establecer un modelo de indicadores y métricas comparables en el tiempo,de manera que se pueda cuantificar el avance en la mejora de la organización. Acontinuación desarrollaremos cada una de ellas:PlanificarEsta fase se corresponde con establecer el Software SECURIA-SGSI.Planifica y diseñar el programa.Sistematizar las políticas a aplicar en la organización.Definir cuáles son los fines a alcanzar y en que ayudaran a lograr los objetivos de negocio.Identificar los medios que se utilizaran para ello.Proyectar como se enfocara el análisis de riesgos y los criterios que se seguirán paragestionar las contingencias de modo coherente con las políticas y objetivos de seguridad.HacerEn esta fase se implementara y se pondrá en funcionamiento de SECURIA-SGSI.Las políticas y los controles escogidos para cumplirlas se implementan mediante recursostécnicos.Se asignan responsables a cada tarea para comenzar a ejecutarlas según las instrucciones.Se implementara el software SMART PC LOCKER, una sencilla aplicación para Windowsque hace las veces de muralla defensiva contra terceros, impidiéndoles acceder a tuordenador tras configurar una contraseña segura.Se aplicara el software EXPIRED USER PASSWORD que se aplica a usuarios que se requieraque cambien sus contraseñas cada cierto tiempo.VerificarEn esta fase se realizara la monitorización y revisión del SECURIA-SGSI.Se controlara que los procesos se ejecutan como se ha establecido, de manera eficaz yeficiente, alcanzando los objetivos definidos para ellos. 8
  10. 10. MANUAL DE NORMAS Y POLITICASSe verificar el grado de cumplimiento de las políticas y procedimientos, identificando losfallos que pudieran existir y, hasta donde sea posible, su origen, mediante revisiones yauditorias.ActualizarEs la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las accionespreventivas y correctivas necesarias para rectificar los fallos, detectados en las auditoríasinternas y revisiones del SECURIA-SGSI.Revisar otras informaciones relevantes para permitir la mejora permanente del SECURIA-SGSI.7. PRESUSPUESTOSOFTWARE N° DETALLE COSTO ( USD) 1 SECURIA-SGSI 0 2 EXPIRED USER PASSWORD 0 3 SMART PC LOCKER 0 TOTAL 0PERSONAL N° DETALLE COSTO ( USD) 1 CAPACITACION EN EL USO DE POLITICA DE CONTROL DE 400 ACCESO 2 CAPACITACION USO DE CLAVES 300 3 CAPACITACION EQUIPOS DESATENDIDOS 255 4 CAPACITACION ESCRITORIO Y PANTALLA LIMPIA 300 TOTAL 1255 9
  11. 11. MANUAL DE NORMAS Y POLITICAS8. ANEXOS8.1 ANEXOSECURIA–SGSI PROGRAMA DE ADMINISTRACIONINGRESO A PROGRAMA ADMINISTRACIONSECURIA – SGSI PROGRAMA CLIENTEINGRESO A PROGRAMA CLIENTE 10
  12. 12. MANUAL DE NORMAS Y POLITICASACCIONES PREVENTIVASINFORME DETALLADO DE LA ACCION 11
  13. 13. MANUAL DE NORMAS Y POLITICAS8.2 ANEXO - RESPONSABILIDAD DE LOS USUARIOS FRENTE A LOSRECURSOS INFORMÁTICOSCuando la Entidad le asigna un recurso informático para el cumplimiento de sus funciones,usted asume la responsabilidad sobre dicho recurso, es decir, que debe velar porcontrolarlo y mantenerlo en buen estado.Mantener los recursos informáticos en óptimas condiciones le ayudará a desempeñar susfunciones sin retrasos ni contratiempos.Para cumplir con este objetivo, además del cuidado normal que se debe tener concualquier equipo electrónico, no debe modificar el software ni el hardware instalado.Seguridad en los puestos de trabajo.De la seguridad en los puestos de trabajo depende en gran parte el nivel de la SeguridadInformática de la UAEAC. Por esta razón se presentan unas prácticas básicas de fácilejecución que ayudan a mantener los puestos de trabajo en los niveles adecuados deseguridad y que le permitirán conservar los recursos informáticos bajo su responsabilidad,en las condiciones en que le fueron entregados.A continuación se dan unas guías para mejorar la seguridad en sus puestos de trabajo.Cuándo se vaya a ausentar por corto tiempo bloquee su sesión, de lo contrario apague elcomputador.Uno puede pensar que no va a pasar nada si va al baño y deja la sesión abierta, pero larealidad es que en un minuto pueden ocurrir muchas cosas en su computador como porejemplo copiar información importante, consultar su correo electrónico, borrarinformación, enviar un correo electrónico en su nombre, etc.Nunca deje documentos sobre su escritorio, guárdelos en gabinetes con llave.Documentos, disquetes y apuntes entre otros, pueden llegar a manos equivocadas, lo cualgenera un gran riesgo para la UAEAC y más aún cuando la información contenida en elloses sensible.No digite su contraseña si sospecha que está siendo observada.Las contraseñas son personales y tienen el caracter de confidencial. Si su contraseña fueraconocida por alguien, este podría revisar su correo, suplantarlo, tener acceso a lainformación que usted maneja e incluso atentar contra su buen nombre haciendo mal usode los recursos informáticos que están bajo su responsabilidad. 12
  14. 14. MANUAL DE NORMAS Y POLITICASSi observa actividad sospechosa en algún puesto de trabajo denúnciela a SeguridadInformática.Un candado puede ser la solución para la pérdida de memoriaCiertos computadores permiten en la parte de atrás la instalación de un candado queimpide que el equipo sea abierto y en consecuencia, que le sean hurtados elementos dehardware, por ejemplo memoria, procesador, discos duros, etc.8.3 ANEXO - CONTRASEÑAS – COMO ELEGIRLAS, DÓNDE CAMBIARLASLa contraseña debe de ser fácil de recordar, de manera que no haya que escribirla oguardarla en un archivo en el equipo. Conviene elegir una contraseña que:- Tenga 8 o más caracteres.- Combine mayúsculas, minúsculas y números.- No figure, o tenga probabilidad de figurar, en un diccionario.- Sea difícil de adivinar: nunca use el nombre de la pareja, hijos, mascota, matrícula delcoche, fecha de nacimiento, código postal, etc. etc.Conviene usar una frase en vez de una palabra como contraseña, porque es más difícil deadivinar. Cuando se manejan diferentes sistemas que requieren una contraseña para cadasistema, nunca hay que repetir la misma contraseña para diferentes sistemas. Tampocousar contraseñas "recicladas", que tienen pequeños cambios para cada sistema (p ej."pepito1" para el sistema 1, y "pepito2" para el sistema 2)Por supuesto, no se debe revelar la contraseña a nadie, tampoco escribirla ni tenerlaregistrada en ninguna parte más que en la propia cabeza.8.3 ANEXO - LA SEGURIDAD INFORMATICA. LOS USUARIOS Y LAS EMPRESAS SIEMPRE ENALERTAA menudo tendemos a referirnos a la seguridad informática haciendo hincapié en laimportancia del usuario en la misma, en la importancia de sus hábitos, sus costumbres,sus usos e incluso los programas que adquiere para llevar a cabo la protección total de susistema.No es poco frecuente apelar a la responsabilidad del usuario medio para evitar que unvirus peligroso se propague o para alertar de los riesgos que un agujero de seguridad 13
  15. 15. MANUAL DE NORMAS Y POLITICASdescubierto en un programa puede provocar, no solo para ese usuario en concreto sinopara el resto de la comunidad online. Las empresas, autoridades y blogs de internetsuelen poner siempre el dedo en la yaga alertando a cada uno de sus lectores ociudadanos sobre la importancia de mantener una correcta y continua protección contrasus ordenadores.Sin embargo, y admitiendo que, lógicamente este punto es fundamental y vital en laorganización y mantenimiento de una internet lo más saludable posible, no podemosobviar ni olvidar la importancia que la seguridad tiene también desde las propiasempresas, es decir, desde los usuarios de más alto rango de la red de redes. De nadaservir mantener a un usuario informado, preparado y alerta si a continuación las grandescabezas pensantes comenten errores infantiles que ayudan, no solo a la propagación devirus y demás sino a la existencia de productos finales vulnerables que terminan llegandoa nuestros ordenadores.Durante la reciente Bsecure Conference, ante más de 120 asistentes, Jesús Torrecillas,consultor de seguridad de Cemex hizo hincapié en algunos los errores que cometen lasempresas a la hora de diseñar sus políticas de seguridad, destacando algunos como: 1. Utilizar gente sin experiencia para el ámbito de la seguridad. 2. Poco conocimiento sobre la seguridad integral. 3. Fiarse demasiado de cierto tipo de medios de seguridad, obviando otros. 4. Externalizar la seguridad de la empresa. 5. No dar soluciones a largo plazo sino parches a corto.Y un largo etcétera que nos sirve como ejemplo para llamar la atención sobre laimportancia de que la seguridad empiece por las propias empresas y continúe, de maneraclara y contundente, en los usuarios finales.9. REFERENCIA BIBLIGRAFICAhttp://www.securia.es/forja/index.php?option=com_content&task=view&id=20&Itemid=1http://www.securia.es/forja/index.php?option=com_docman&task=cat_view&gid=13&&Itemid=3http://muyseguridad.net/2012/09/18/smart-pc-locker-y-bloquea-tu-windows-bien-bloqueado/http://ebookbrowse.com/expired-password-reset-tutorial-pdf-d232045489http://expired-password.winsite.com/ 14

×