UNIVERSIDAD AUTÓNOMA GABRIEL RENE MORENO     FACULTAD DE CIENCIAS EXACTAS Y TECNOLOGÍA  DIPLOMADO EN AUDITORIA Y SEGURIDAD...
ResumenEn el presente proyecto de se pretende dar una adecuada solución de seguridad a laempresa de caso de estudio, toman...
Resumen......................................................................................................................
1.- IntroducciónLas organizaciones tratan como un problema tecnológico a la seguridad de lainformación, sin tomar en cuent...
Continuidad de las operaciones necesarias de negocio tras incidentes de      gravedad.      Conformidad     con   la   leg...
4.-Control de acceso a computación y tele-trabajo móvil4.1.-ObjetivoAsegurar la seguridad de la información cuando se util...
6.-Tele-trabajo6.1.-ControlSe debiera desarrollar      e implementar una política, planes operacionales yprocedimientos pa...
El acceso de los usuarios a redes y servicios en red no debería comprometer laseguridad de los servicios en red si se gara...
Revisión de controles para equipos portátiles, trabajo en movilidad, teletrabajo y redesinalámbricas usar una herramienta ...
responsabilidades y al recaer en una sola persona se vuelve complicada la    ejecución de las diferentes tareas.•   Se deb...
12.-AnexoVentana PrincipalControl de los Aparatos de la red                                    Página 11
Log de cambios de los aparatos12.- Bibliografíashttp://www.es.paessler.com/prtg/downloadwww.uv.es/http://scielo.isciii.es/...
Próxima SlideShare
Cargando en…5
×

Documentos final.11.7

279 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
279
En SlideShare
0
De insertados
0
Número de insertados
2
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Documentos final.11.7

  1. 1. UNIVERSIDAD AUTÓNOMA GABRIEL RENE MORENO FACULTAD DE CIENCIAS EXACTAS Y TECNOLOGÍA DIPLOMADO EN AUDITORIA Y SEGURIDAD INFORMÁTICA 11.7 Computación y Comunicación Móvil Integrantes:  Marcia Solís Arana  Pablo Manuel Molina  Reynaldo Mancilla Herrera  Whitman Pérez Robles  Richard Eduardo Zorrilla Modulo: Control de Accesos Docente: Ing. Karem Esther Infantas Soto Ph.D. Página 1
  2. 2. ResumenEn el presente proyecto de se pretende dar una adecuada solución de seguridad a laempresa de caso de estudio, tomando como base Estándares.Se proporcionara los lineamientos básicos de la seguridad de la información, unavisión general del acceso a la información así como las diferentes alternativas para eltratamiento , nos da una descripción de la Norma ISO 17799-2005 en dondeseñala que la seguridad de información no se trata sólo de aspectos tecnológicossino su objetivo es organizar la seguridad de información, es por este motivo quepropone toda una secuencia de acciones tendientes al “Establecimiento,Implementación, Operación, Monitorización, Revisión, Mantenimiento y Mejora.En la cual se documenta los procesos y procedimientos que ayudarán a garantizarla seguridad de la información.Se identifican los activos más importantes para la empresa y se realiza unaidentificación, análisis y evaluación de vulnerabilidades, para posteriormenterealizar una selección de controles y objetivos de control de la Norma ISO 17799. Página 2
  3. 3. Resumen..............................................................................................................................21.- Introducción....................................................................................................................42.-ISO 27002 (ISO 17799) ......................................................................................................42.1.- Beneficios de las normas iso 27000 ...............................................................................42.2.-Políticas (Estandar ISO/27002)........................................................................................53.- Caso de estudio ...............................................................................................................54.-Control de acceso a computación y tele-trabajo móvil .......................................................64.1.-Objetivo........................................................................................................................64.2.-Alcance .........................................................................................................................65.-Control de acceso a computación y tele-trabajo móvil .......................................................65.1.-Objetivo........................................................................................................................65.2.-Control..........................................................................................................................65.3.-Lineamiento de implementación ....................................................................................66.-Tele-trabajo .....................................................................................................................76.1.-Control..........................................................................................................................76.2.-Lineamiento de implementación ....................................................................................76.3-Principios y procedimientos ............................................................................................77.-Políticas de Seguridad del caso de estudio .........................................................................88.-Informática móvil .............................................................................................................89.-Posibles soluciones...........................................................................................................810.- Costo en la implementación ...........................................................................................911.- Recomendaciones..........................................................................................................912.-Anexo .......................................................................................................................... 1112.- Bibliografías ................................................................................................................ 12 Página 3
  4. 4. 1.- IntroducciónLas organizaciones tratan como un problema tecnológico a la seguridad de lainformación, sin tomar en cuenta que la seguridad de la información es unproblema organizativo y de gestión, lo que con lleva a que las organizaciones nosean capaces de afrontar ataques provenientes de todos los ángulos.No es suficiente contar con tecnología sofisticada, la gestión implica conocer lasituación de lo que queremos tratar y tener claro hacia dónde queremos ir, es decir,determinar un objetivo y tomar las acciones modelo necesarias para conseguirlo. Ladefinición de un para la gestión de la seguridad de la información implica involucrar atoda la organización y no sólo al área encargada de implantar el modelo, lo cualtrae como resultado el éxito del proyecto tanto en su implantación como en sumantenimiento, es así que se debe fomentar el cambio cultural para concienciaracerca de importancia de la seguridad.2.-ISO 27002 (ISO 17799)En fase de desarrollo; probable publicación en 2007. Es una guía de buenasprácticas que describe los objetivos de control y controles recomendables encuanto a seguridad de la información. No es certificable. Será la sustituta de la ISO17799:2005, que es la que actualmente está en vigor, y que contiene 39objetivos de control y 133 controles, agrupados en 11 cláusulas. Como se hamencionado en su apartado correspondiente, la norma ISO27001 contiene unanexo que resume los controles de ISO 17799:2005.2.1.- Beneficios de las normas iso 27000Entre los beneficios que se obtienen por la implementación del conjunto denormas ISO en una organización, se tiene: Establecimiento de una metodología de gestión de la seguridad clara y estructurada. Reducción del riesgo de pérdida, robo o corrupción de información. Los clientes tienen acceso a la información a través medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. Página 4
  5. 5. Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Proporciona confianza y reglas claras a las personas de la organización. Reduce costes y mejorar los procesos y servicio. Seguridad garantizada en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.2.2.-Políticas (Estandar ISO/27002) • 11.7 Computación y tele-trabajo móvil • 11.7.1 Computación y comunicaciones móviles • 11.7.2 Tele-trabajo3.- Caso de estudio Página 5
  6. 6. 4.-Control de acceso a computación y tele-trabajo móvil4.1.-ObjetivoAsegurar la seguridad de la información cuando se utiliza medios de computación ytele-trabajo móviles.4.2.-AlcanceLa protección requerida se debiera conmensurar con los riesgos que causan estasmaneras de trabajo específicas. Cuando se utiliza computación móvil, se debieranconsiderar los riesgos de trabajar en un ambiente desprotegido y se debieraaplicar la protección apropiada. En el caso de tele-trabajo, la organización debieraaplicar protección al lugar del tele-trabajo y asegurar que se establezcan los arreglosadecuados para esta manera de trabajar.5.-Control de acceso a computación y tele-trabajo móvil5.1.-ObjetivoAsegurar la seguridad de la información cuando se utiliza medios de computación ytele-trabajo móviles. La protección requerida se debiera conmensurar con los riesgosque causan estas maneras e trabajo específicos. Cuando se utiliza computación móvil,se debieran considerar los riesgos de trabajar en un ambiente desprotegido yse debiera aplicar la protección apropiada. En el caso del tele-trabajo, laorganización debiera aplicar protección al lugar del tele-trabajo y asegurar que seestablezcan los arreglos adecuados para esta manera de trabajar.5.2.-ControlSe debiera establecer una política y adoptar las medidas de seguridad apropiadaspara proteger contra los riesgos de utilizar medios de computación y comunicaciónmóvil.5.3.-Lineamiento de implementaciónCuando se utiliza medios de computación y comunicación móvil; por ejemplo,notebooks, palmtops, laptops, tarjetas inteligentes y teléfonos móviles; se debieratener especial cuidado en asegurar que no se comprometa la información comercial.La política de computación móvil debiera tomar en cuenta los riesgos de trabajar conequipo de computación móvil en ambientes desprotegidos. Página 6
  7. 7. 6.-Tele-trabajo6.1.-ControlSe debiera desarrollar e implementar una política, planes operacionales yprocedimientos para las actividades de tele-trabajo.6.2.-Lineamiento de implementaciónLas organizaciones sólo debieran autorizar las actividades de tele-trabajo si estánseguros que se cuenta con los arreglos y controles de seguridad apropiados, y queestos cumplen con la política de seguridad de la organización.El lugar del tele-trabajo debiera contar con una protección adecuada contra; porejemplo, el robo de equipo e información, la divulgación no autorizada de información,acceso remoto no autorizado a los sistemas internos de la organización o el mal usode los medios. Las actividades de tele-trabajo debieran ser autorizadas y controladaspor la gerencia, y se debiera asegurar que se hayan establecido los arreglosadecuados para esta forma de trabajo.6.3-Principios y procedimientosLa protección exigible debería estar en relación a los riesgos específicos queocasionan estas formas específicas de trabajo. En el uso de la comunicación móvildeberían considerarse los riesgos de trabajar en entornos desprotegidos y aplicar laprotección conveniente.En el caso del teletrabajo, la Organización debería aplicar las medidas de protección allugar remoto y garantizar que las disposiciones adecuadas estén disponibles para estamodalidad de trabajo.Se debería desarrollar una política de uso de controles criptográficos.Se debería establecer una gestión de claves que de soporte al uso de técnicascriptográficas.Se requieren ciertas precauciones para prevenir y detectar la introducción de códigomalicioso y códigos móviles no autorizados.El software y los recursos de tratamiento de información son vulnerables a laintroducción de software malicioso como virus informáticos, gusanos de la red,caballos de troya y bombas lógicas.Los usuarios deberían conocer los peligros que puede ocasionar el software maliciosoo no autor izado y los administradores deberían introducir controles y medidasespeciales para detectar o evitar su introducción.Se deberían controlar los accesos a servicios internos y externos conectados en red. Página 7
  8. 8. El acceso de los usuarios a redes y servicios en red no debería comprometer laseguridad de los servicios en red si se garantizan: a) que existen interfaces adecuadas entre la red de la Organización y las redespúblicas o privadas de otras organizaciones; b) que los mecanismos de autenticación adecuados se aplican a los usuarios y equipos; c) el cumplimiento del control de los accesos de los usuarios a los servicios de información.7.-Políticas de Seguridad del caso de estudioTenga políticas claramente definidas para la protección, no sólo de los propios equiposinformáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de lainformación almacenada en ellos.Por lo general, el valor de la información supera con mucho el del hardware.Asegúrese de que el nivel de protección de los equipos informáticos utilizados dentrode las instalaciones de la organización tiene su correspondencia en el nivel deprotección de los equipos portátiles, en aspectos tales como antivirus, parches,actualizaciones, software cortafuegos, etc."Estado de la seguridad en entorno portátil / teletrabajo", es decir, un informe sobre elestado actual de la seguridad de equipos informáticos portátiles (laptops, PDAs,teléfonos móviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajomóvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades actualesde seguridad conocidas y pronósticos sobre cualquier riesgo creciente, despliegue deconfiguraciones seguras, antivirus, firewalls personales, etc.8.-Informática móvilSe debería establecer una política formal y se deberían adoptar las medidas deseguridad adecuadas para la protección contra los riesgos derivados del uso de losrecursos de informática móvil y las telecomunicaciones.9.-Posibles solucionesInforme sobre Malware en Smartphones que tiene por objeto exponer la problemáticadel malware en este tipo de dispositivos y desde diversos puntos de vista (aspectostécnicos, económicos e históricos) Página 8
  9. 9. Revisión de controles para equipos portátiles, trabajo en movilidad, teletrabajo y redesinalámbricas usar una herramienta para la monitorización en tiempo real de cambiosen sistemas Windows o ataques de red. Permite monitorizar el uso y acesso deescritorio remoto entre otras utilidades.Prey permite mantener trazabilidad de tu teléfono o portátil en todo momento parapoder encontrarlo en caso de pérdida o robo. Es una aplicación ligera, open source yde libre uso.10.- Costo en la implementaciónEn estos costos se consideran los valores de los elementos necesarios para laimplementación. Estos valores son los siguientes:1.- Software.- El Software que utilizamos en nuestra implementación es de costo,ponemos en consideración para referencia de la Organización.A continuación la tabla donde se consideran los costos antes mencionadosNº Detalle Costo1 PRTG 100 US$ 400.002 Windows Server R2 US$ 500.00 TOTAL US$ 900.0011.- Recomendaciones • Identificar de forma clara cuales son los activos y asignarles un grado de protección según su criticidad, indicando como debe ser tratado y protegido; para de esta forma mantener una adecuada protección de los activos. • Realizar análisis periódicos de los riesgos y monitorear continuamente la situación, pues la seguridad que se requiere proporcionar con un control que es permanente para lo cual es necesario de un proceso continuo, más no de acciones puntuales. • Documentar los procedimientos operativos, cualquiera que sea su tipo, detallándose para cada tarea sus requerimientos de programación, interdependencias con otros sistemas, tareas de mantenimiento previstas y procedimientos de recuperación ante incidentes. • Es aconsejable que se aumente el personal que administra el departamento de IT, pues al implementar el control se incrementan las Página 9
  10. 10. responsabilidades y al recaer en una sola persona se vuelve complicada la ejecución de las diferentes tareas.• Se deben definir el comité de recuperación ante contingencias, para que se pueda definir de forma clara las funciones y responsabilidades de cada miembro ante desastres.• Es recomendable que el desarrollo de cualquier sistema de gestión de seguridad de información respete las normas y leyes vigentes del país, como son por ejemplo el respeto a los derechos de propiedad intelectual.• Se recomienda la implementación de la norma 27002 porque a más de proteger la empresa, permite mejorar la imagen al exterior.• La seguridad de la información debe ser considerada como un proceso de mejoramiento continuo y no un estado estático, en donde los nuevos requerimientos de seguridad se ajusten a los cambios de la empresa. Página 10
  11. 11. 12.-AnexoVentana PrincipalControl de los Aparatos de la red Página 11
  12. 12. Log de cambios de los aparatos12.- Bibliografíashttp://www.es.paessler.com/prtg/downloadwww.uv.es/http://scielo.isciii.es/scielo.php?pid=S0213-91112012000500013&script=sci_arttexthttp://seguridadinformacioncolombia.blogspot.com/2010/04/iso-27001-e-iso-27002-dominio-11.htmlwww.27000.orgwww.scribd.com/doc/74201296/ISO-2700www.slideshare.net/MarceloFeranda/iso-27001-eiso27004 Página 12

×