UNIVERSIDAD NACIONAL AUTONOMA DE HONDURAS

FACULTAD DE INGENIERIA

Asignatura: Seguridad informática Tarea: Examen (políticas de seguridad) Catedrático: Ing. Rafael Díaz del Valle Alumno: Josué Efraín Cortéz Padilla Cuenta: 20041002030

Ciudad Universitaria, 18-abril-2008

CONTENIDO

• Introducción • Definiciones

Objetivos

Políticas de seguridad • Bibliografía

INTRODUCCION
El siguiente informe trata sobre la gestión de la información realizando las tareas necesarias para garantizar los niveles de seguridad exigibles en la empresa, que brinda un servicio de canales dedicados y servicios de internet.

La seguridad constituye una gran preocupación para esta empresa en todas las redes, pero resulta fundamental para las redes de comercio electrónico, en nuestra empresa hay dos sistemas de información con acceso a internet, en las que se realizan transacciones financieras, se monitoreo y controla el acceso a las antenas instaladas y por otro lado se almacena información importante. Por este motivo, se convierte en blanco de los ataques malintencionados organizados a través de Internet. Las infracciones de seguridad pueden ir desde pequeñas intrusiones pasando por infiltraciones molestas hasta llegar a situaciones graves, caras y desastrosas. La seguridad es uno de los aspectos más importantes de una solución de comercio electrónico. Si no se establece una seguridad férrea, la información confidencial de los clientes, como los números de tarjeta de crédito y las direcciones particulares completas, puede estar en peligro. Los efectos de una infracción de seguridad pueden provocar que los clientes tengan menos confianza así como pérdidas importantes en el negocio. La seguridad de la información se define como la preservación de: Confidencialidad. Aseguramiento de que la información es accesible solo para aquellos autorizados a tener acceso. Integridad. Garantía de la exactitud y completitud de la información y de los métodos de su procesamiento. Disponibilidad. Aseguramiento de que los usuarios autorizados tiene acceso cuando lo requieran a la información y sus activos asociados.

DEFINICIONES

• • •

Activo: Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección. Amenaza: Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas materiales o inmateriales en sus activos. Riesgo: Posibilidad de que una amenaza se materialice. Impacto: Consecuencia sobre un activo de la materialización de una amenaza. Control: Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.

OBJETIVOS
El objetivo principal de este trabajo es proporcionar un informe detallado sobre las políticas de seguridad necesarias en lo tecnológico, físico, control de acceso, también en cuanto al personal que labora en la empresa, entre otros. Algunas consideraciones.

1. Los problemas de seguridad no son únicamente de índole tecnológico. 2. Los riesgos no se eliminan… se gestionan. 3. La seguridad no es un producto, es un proceso.

POLITICAS DE SEGURIDAD
SISTEMA DE CONTABILIDAD

• •

• •


• •

La información personal de los clientes en el sistema de contabilidad es algo confidencial de la empresa. No se permite la salida de información en ningún dispositivo de almacenamiento. Cuando se realice un cambio o renovación de personal en un nivel de administrador de base de datos o redes se deben cambiar todo tipo de contraseñas. Los usuarios deben estarse actualizando y educando para el uso de nuevas tecnologías ya sea cuando la empresa se lo proporcione o por su parte. Los usuarios deben notificar problemas incidentes a la persona indicada. Optar por nuevas tecnologías para redes o software cuando estos comiencen a quedar rezagados. En caso de alguna falla de software y/o hardware el usuario no debe intentar solucionar el problema la responsabilidad es de la persona encargada de las reparaciones o afines. La seguridad del perímetro debe estar resguardada con puertas y candados del un tamaño regular, lo mas recomendable es el uso de alarma. Evitar el acceso a personas no autorizadas. La relación con los demás departamentos de la organización debe ser plana, y cuando haya solicitudes de información, debe tener respuesta rápida, cuidadosa y precisa. Mantener un inventario de los datos actualizado y protegido. Prevenir la pérdida, modificación o mal uso de la información entre los diferentes departamentos de la organización.

• • • •

Evitar accesos no autorizados a los sistemas de información. Evitar accesos no autorizados a las computadoras, impresoras, escáner, fotocopiadora, etc. Reaccionar inmediatamente cuando halla una falla pequeña o grande del sistema por parte de la persona encargada. Obtener equipos o dispositivos para guardar o salvar la información ante cualquier falla del sistema. Capacitación a usuario contra ingeniería social.

SISTEMA DE VENTAS
• Cuando se realice un cambio o renovación de personal en un nivel de administrador de base de datos o redes se deben cambiar todo tipo de contraseñas y configuraciones avanzadas de routers, switches, etc. Evitar accesos a los sistemas de información aun y cuando sea personal de la empresa debe estar autorizado para tener acceso. Cada nivel de usuarios debe conocer solo los derechos y obligaciones que le competen a el. Las contraseñas de usuarios con acceso a internet deben tener un buen nivel de seguridad para evitar ser obtenidas por terceros. El administrador del router lo hará en forma local, negando todo tipo de acceso remoto. Se debe contar con tecnologías adecuadas de redes, cortafuegos, antivirus, etc. El administrador de la red debe tener conocimientos fuertes sobre hacking, exploit, cracking de contraseñas, ingeniería social, sistemas operativos, hardware, etc. Los reportes de las ventas deben ser específicos y presentados a las personas adecuadas y con autoridad para tener acceso a el. Educar a los usuarios sobre los efectos drásticos que puede causar la ingeniería social. Mantener la relación con otras divisiones de la empresa, también con oficinas en diferentes ubicaciones geográficas de la empresa, pero siempre con cautela de las solicitudes de información por el internet. Mantener una seguridad adecuada sobre los activos de la organización.


• • •

• • •



Asegurar un nivel de protección adecuado a los activos de información. Educar a los usuarios que sean consientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para reportar cualquier anomalía en el sistema en el curso de su trabajo. Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información. Las áreas de trabajo y sus activos deben ser clasificadas y protegidas en función de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de índole física (robo, inundación, incendio...). El perímetro debe ser muy bien resguardado con puertas y candados si es necesario alarmas.

SISTEMA DE MONITOREO Y CONTROL DE ACCESO

• • • •

Evalúa cada dispositivo, decidir los tipos de tráfico permitidos y se desarrolla un modelo de seguro para bloquear el resto del tráfico. Permitir tráfico en los puertos 80 y 443. Si algún usuario no autorizado intenta tener un acceso no autorizado desde Internet, sólo puede probar en dichos puertos. Limitar cada host sólo a las tareas que necesita realizar. De este modo, se crea otra barrera de seguridad que un intruso tendría que derribar antes de provocar daños. Garantizar que sólo determinados dispositivos identificados de la red permiten la conectividad de acceso remoto. Una utilidad de barrido de módem comprueba todos los prefijos de la compañía en busca de dispositivos no autorizados. Minimizar el riesgo de fallos en los sistemas. Asegurar la salvaguarda de la información de las redes y la protección de su infraestructura de apoyo. Detectar las actividades no autorizadas. Evitar perdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Proteger el perímetro de las antenas y la red que controla dichas antenas con puertas, candados, alarmas, y cámaras de seguridad,

• •


por cualquier intento de robo, alteración y hasta una fallo de sistema. Reaccionar rápidamente ante cualquier reporte de fallo o caída del servicio prestado. El administrador de redes de esta área debe ser una persona bien preparada académicamente con conocimientos amplios sobre configuraciones de redes, ataques de hackers, entre otros. Los usuarios deben tener conocimientos de las tecnologías de redes. Los usuarios deben ser actualizados de los efectos delos ataques del exterior e interior de la organización y el efecto de la ingeniería social. El router de acceso debería ser uno, en particular aislado de la red, de no ser posible se debería contar con más de una interfaz para configurar distintas listas de acceso en cada una de ellas.

BIBLIOGRAFIA

• •

www.monografias.com www.rfc.net/rfc2196.html

• • •

www.s2grupo.com

www.secury-policy.org www.isaca.org/cobit

www.microsoft.com/security