Análisis+..

325 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
325
En SlideShare
0
De insertados
0
Número de insertados
14
Acciones
Compartido
0
Descargas
14
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Análisis+..

  1. 1. ANÁLISIS Y ELABORACIÓN DE LAS POLÍTICAS DE SEGURIDAD DE LA COOPERATIVA SAN JOSÉ R.L.Presentado por:Luis C. Robles T.Juan D. Mitre G. 1
  2. 2. Introducción.El presente proyecto hace un estudio de la seguridad en lainformación en la Cooperativa San José.En el capítulo I describiremos las generalidades delProyecto. En el Capítulo II estableceremos los aspectosteóricos utilizados para la confección del mismo.En el capítulo III presentaremos la Política de Seguridadelaborada posterior al análisis realizad de la forma en quese lleva actualmente la Seguridad en la Información en laCooperativa San José. 2
  3. 3. ObjetivosObjetivo General. Analizar las normas actuales de Seguridad de la Información de la Cooperativa San José R.L. y así establecer las Políticas Adecuadas de Seguridad en la Información.Objetivos Específicos Realizar la revisión de las normas que posee en la actualidad la empresa para conocer los controles que se llevan a cabo. Junto con los altos mandos de la Organización establecer los nuevos controles que pueden ser incorporados a la Seguridad de la Información que se lleva actualmente. Establecer las Normas de Seguridad en los diferentes rubros a fin de garantizar la seguridad dentro de la organización. 3
  4. 4. JustificaciónToda organización debe ser responsable de garantizar quelos activos de información que posea sea guardadosadecuadamente.La presente investigación pretende hacer una evaluación dela forma en la que se manejan actualmente los datos de laCooperativa San José a fin que pueda crearse una políticaque vaya encaminada a proteger los activos de informacióny se prevean posibles riesgos en el futuro provenientes deinterés ajenos a la organización. 4
  5. 5. AlcanceNuestra Investigación pretende abarcar todos los aspectosque implican la seguridad de la información de estaorganización, conocida como Cooperativa de Ahorro yCrédito San José R.L., en donde se abarcan los aspectos deseguridad física, acceso lógico y responsabilidades en lamisma. 5
  6. 6. 6
  7. 7. Antecedentes de la EmpresaObtiene su aval para funcionamiento como InstituciónFinanciera de Ahorro y Crédito a partir de 5 de enero del año1992.Fundada en la Ciudad de Aguadulce, en donde se instala suprimera sucursal. Se funda con más de 50 asociados y poseepermisos de para realizar operaciones de Ahorro y Crédito.Ya para el año 2001 abren sucursales en Chitré, Natá yPenonomé ampliando así su rango de actividades ydiversificando también sus productos con la apertura de unAlmacén Agropecuario en Aguadulce en el año 2002. 7
  8. 8. Misión y VisiónMisión Ser una Empresa Cooperativa líder en el área de Ahorro, Crédito y Producción.Visión Optimizar los resultados de las actividades productivas y de servicios para el desarrollo sostenible. 8
  9. 9. Estructura Organizativa 9
  10. 10. Estructura de Tecnología de la Información El Departamento de Tecnologías de la Información está conformado por 7 empleados los cuales se dedican a las labores propias del área. Existen un Director de Departamento, 2 personas encargadas de la programación de nuevas tareas, 1 Administrador de Base de Datos, 1 Administrador de Seguridad de Hardware y Redes, y 2 funcionarios para Soporte Técnico. 10
  11. 11. Estructura de Tecnología de la Información Dirección de Tecnología de la Información Seguridad de Administración SoporteProgramación Hardware y de Base de Redes Técnico Datos 11
  12. 12. Aplicaciones Utilizadas Las aplicaciones utilizadas han sido desarrolladas dentro de la Compañía. Base de Datos SQL Server. Desarrolladas en Visual Basic. Son sistemas de control de Transacciones, ingreso de transacciones, generación de reportes, estados financieros. 12
  13. 13. Políticas Actuales de Seguridad.Aspectos Sobresalientes: Poseen Manual para Usuarios. Establecen controles de acceso lógico a la Base de Datos. Uso adecuado de computadores. No establecen sanciones para pérdidas, robos o modificaciones en la información. Establecen cambios períódicos en las contraseñas. Fueron elaboradas por el personal del Dpto. de Tecnologías de la Información. No existe conciencia ante la Junta Directiva respecto al uso de Seguridad en la Información, es un tema exclusivo del Dpto. de Tecnologías de la Información. 13
  14. 14. Qué es un Sistema de Gestión de Seguridad en la InformaciónUn Sistema de Gestión de la Información es un conjunto de Normas oPolíticas que incluyen estructura organizativa, activos físicos,conocimiento, procedimientos y recursos humanos, que velen por laconfidencialidad, disponibilidad e integridad de la información y de losdatos existentes dentro de una organización.Este tipo de sistemas también trata de disminuir las posibilidades delriesgo de pérdidas de la información dentro de la empresa y de igualforma pretende garantizar la confidencialidad, integridad ydisponibilidad de información a todos los niveles. 14
  15. 15. Qué es un Sistema de Gestión de Seguridad en la InformaciónVentajas: Mejorar la organización y la asignación de responsabilidades en lo relativo a la seguridad de la información en la empresa. Permite documentar y estandarizar las actividades referentes a la gestión de la seguridad de la información. Disminuir el riesgo derivado de posibles usos de información confidencial por parte de personal ajeno. Involucrar al personal como parte activa y creativa dentro de la organización. Aumentar la rentabilidad a medio y corto plazo, disminuir la probabilidad de pérdidas y fugar en el sistema de información de la entidad. Mejorar la imagen corporativa. 15
  16. 16. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.Descripción de la Norma.El presente documento hace referencia a LAS POLÍTICAS DESEGURIDAD DE LA INFORMACIÓN de la Cooperativa San JoséR.L. Es la regulación establecida de forma conjunta por los entes queestán vinculados a mantener resguardada la información dentro de estaorganización a fin de protegerla de pérdidas e irregularidades que causendaño a los activos de la empresa.Alcance.Las presentes Normas y Procedimientos de Seguridad en laInformación tienen por objetivo establecer el resguardo de lainformación, garantizar la durabilidad de los equipos informáticos y lacorrecta interacción de personas con los equipos informáticos. 16
  17. 17. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA EL RECURSO HUMANO.Cualquier usuario que utilice equipos de información del CooperativaSan José R.L., acepta el uso adecuado de los Equipos Informáticos engeneral, ya sea computadoras, impresoras, equipos de red y otrosdefinidos en este documento y el correcto uso de la Información queingresará y usará de estos equipos, siempre teniendo como objetivoúnico sus labores dentro de la empresa, para lo cual acepta mantener laconfidencialidad de la misma en apego a las Normas aquí descritas yrindiendo siempre informe a sus superiores inmediatos. 17
  18. 18. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA EL RECURSO HUMANO.Definición de Roles.Comité de Seguridad de la Información.Conformado por un miembro de la Junta Directiva, un miembro de laGerencia General, Un Miembro de la Junta de Vigilancia, el Director delDpto. de Tecnologías de la Información y el Director del Dpto. deRecursos Humanos. Su función original, es garantizar el cumplimiento de la Política de Seguridad de la Información. Garantizar la correcta divulgación de la Política de Seguridad de la Información de la Cooperativa San José R.L. Realizar las investigaciones de incidentes o faltas cometidas contra la Seguridad de la Información dentro de la organización. 18
  19. 19. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA EL RECURSO HUMANO.Definición de Roles.Sección de Seguridad de Hardware y Redes. Realizar las inducciones de en cuanto a los lineamientos de seguridad establecidos en la Norma de Seguridad de la Información Monitorear las actividades de los usuarios a través de la red, por medio de un programa adecuado que garantice que la información que fluye por medio de los diferentes dispositivos sea la adecuada y se garantice la confidencialidad de la misma. Garantizar que los usuarios cuenten con las medidas de seguridad dentro de los equipos que utilicen (Programas Antivirus, Contraseñas, otros) de modo que se haga uno correcto uso de los equipos informáticos en general. 19
  20. 20. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA EL RECURSO HUMANODefinición de Roles.Personal Nuevo. Toda persona que ingrese a la Empresa Cooperativa San José R.L., y que dentro de sus funciones esté el uso de equipo de computación, deberá notificarse al Dpto. de Informática de la Institución. El Encargado del Departamento de Tecnologías de la Información asignará una persona que le informe cuales son sus obligaciones respecto al uso de estos equipos y a la información guardada en ellos a fin de garantizar una inducción correcta y evitar posibles errores. 20
  21. 21. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA EL RECURSO HUMANODefinición de Roles.Usuario Interno.Todo colaborador que tenga acceso al uso de equipo de Informática o deRedes.Medidas Disciplinarias.Se consideran faltas graves robar, dañar, divulgar información reservadao confidencial de esta empresa, o de que se le declare culpable de undelito informático. Por lo cual cualquier usuario interno que incurra endicha falta será motivo de sanción, establecida en el Reglamento Internode la Cooperativa San José R.L. 21
  22. 22. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA LA SEGURIDAD FÍSICA DE LAINFORMACIÓN.Los mecanismos de control de acceso físico para el personal y paraparticulares deben permitir el acceso a las instalaciones y áreasrestringidas de Cooperativa San José R.L.Protección de la Información.El usuario deberá reportar de forma inmediata al Departamento deTecnologías de la Información cuando considere que existan riesgosreales o potenciales para equipos de cómputo o comunicaciones, comopueden ser fugas de agua, conatos de incendio u otros. 22
  23. 23. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA LA SEGURIDAD FÍSICA DE LAINFORMACIÓN.Controles de Acceso Físico.Todo equipo de cómputo en general o de telecomunicaciones, ajeno a laempresa, debe ser registrado de forma oportuna al momento de su entrada y susalida. Preferiblemente debe ser revisado por personal del Dpto. de Tecnologíasde la Información de la organización de forma que se evite pérdida de equipos opiezas.Seguridad en el Área de Trabajo.El Departamento de Tecnologías de la Información de la Cooperativa San JoséR.L. es el lugar en donde se encuentran los activos de información de laorganización guardados, por lo cual se considera un área sensitiva. 23
  24. 24. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA LA SEGURIDAD FÍSICA DE LAINFORMACIÓN.Protección y Ubicación de los Equipos.Los usuarios no podrán mover los equipos de cómputo o telecomunicaciones,instalarán o desinstalarán dispositivos en ellos, sin la autorización del Dpto. deInformática.Mantenimiento de los Equipos.Es responsabilidad absoluta del Departamento de Tecnologías de laInformación, en el Área de Soporte Técnico realizar las reparaciones, revisionesy actualizaciones a los equipos de informática de la Cooperativa San José R.L 24
  25. 25. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA LA SEGURIDAD FÍSICA DE LAINFORMACIÓN.Pérdida en los Equipos.El usuario que tenga bajo su resguardo algún equipo de cómputo, seráresponsable de su uso y custodia; en consecuencia, responderá por dicho biende acuerdo a la normatividad vigente en los casos de robo, extravío o pérdidadel mismo.Daños en los Equipos.El equipo de cómputo o cualquier recurso de tecnología de información quesufra alguna descompostura por maltrato, descuido o negligencia por parte delusuario quien resguarda el equipo, se levantara un reporte de incumplimiento depolíticas de seguridad. 25
  26. 26. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA LA SEGURIDAD Y ADMINISTRACIÓN DEOPERACIONES DE CÓMPUTO.Los usuarios que hagan uso de equipo de cómputo, deben conocer y aplicar lasmedidas para la prevención de código malicioso como pueden ser virus,caballos de Troya o gusanos de red.Instalación de SoftwareCada vez que se necesite la instalación de algún programa en una computadora,esta labor debe ser realizar por la Sección de Soporte Técnico del Departamentode Tecnologías de la Información. 26
  27. 27. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA LA SEGURIDAD Y ADMINISTRACIÓN DEOPERACIONES DE CÓMPUTO.Identificación de Incidentes.Cuando exista la sospecha o el conocimiento de que información confidencial oreservada ha sido revelada, modificada, alterada o borrada sin la autorización delas unidades administrativas competentes, el usuario informático deberánotificar al Área de Tecnologías de la Información.Administración de la Configuración.Ningún usuario debe cambiar la configuración inicial del computador que estáutilizando, desde el fondo de pantalla, hasta el IP de su máquina. Tampoco estápermitido utilizar ningún protocolo de transferencia de datos sin enconsentimiento del Dpto. de Tecnologías de la Información. 27
  28. 28. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA LA SEGURIDAD Y ADMINISTRACIÓN DEOPERACIONES DE CÓMPUTO.Seguridad para la Red.Queda terminantemente prohibido instalar cualquier programa dañino,programas hackers u otro programa que modifique, sustraiga o elimine algunainformación dentro de la red interna de la organización, por lo que seconsiderará un ataque de hacker, lo cual es penado por las Leyes locales y serámotivo de destitución inmediata.Uso de Correo Electrónico.El correo electrónico es un instrumento de envío y recibo de información pormedio de internet. Todo usuario que amerite, mantendrá activa una cuenta decorreo electrónico dentro del servidor de la organización el cual deberá ser deluso estricto en cuestiones laborales. 28
  29. 29. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS PARA LA SEGURIDAD Y ADMINISTRACIÓN DEOPERACIONES DE CÓMPUTO.Controles para Programas Maliciosos.Cada vez que un usuario inserte algún dispositivo de almacenamiento a lasunidades de entrada del computador que esté a su cargo deberán ser revisadascon el Software Antivirus que ha sido previamente configurado y del que se leha explicado su uso, para evitar la entrada de virus y otros programas quecausen daño al Hardware o Software.Internet.El acceso a Internet proporcionado a los usuarios, es exclusivamente para lasactividades relacionadas con las necesidades del puesto y función quedesempeña. 29
  30. 30. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS DE CONTROL DE ACCESO LÓGICO.Toda persona que la organización le provea un usuario y una contraseña seráresponsable de los actos que ocurran con dicha información; por lo cual esimportante mantenerla de forma secreta a fin de garantizar su seguridad.Controles de Acceso Lógico.Todos los usuarios de servicios de información son responsables por el deusuario y contraseña que recibe para el uso y acceso de los recursos.Administración y Uso de Contraseñas.Las contraseñas serán asignadas a los usuarios de forma privada, mostrándolessus responsabilidades ante ella y las sanciones que implican el mal uso de lasmismas. Dicha responsabilidad recae en el Administrador de Seguridad deHardware y Redes. 30
  31. 31. Política de Seguridad en la Información Cooperativa de Ahorro y Crédito San José R.L.POLÍTICAS EL CUMPLIMIENTO DE LA SEGURIDAD DEINFORMACIÓN.Derechos de Propiedad Intelectual.Todos los programas, aplicaciones y documentos desarrollados por loscolaboradores para el uso de la Cooperativa San José R.L., serán propiedadabsoluta de esta organización por lo cual queda prohibida la copia, acceso odistribución de la misma a fin de salvaguardar los derechos de propiedad sobrela misma.Revisiones de Cumplimiento.El Comité de Seguridad de la Información, en conjunto con el Depto. DeTecnologías de la Información serán los responsables de realizar acciones deverificación del cumplimiento del Manual de Políticas y Estándares deSeguridad de la Información para Usuarios. 31
  32. 32. CONCLUSIONES-El cumplimiento de las Normas o Políticas de Seguridad en una Empresagarantiza la larga vida de los datos, información sensible y equipos físicos queutilizan, por lo cual las organizaciones deben velar por su cumplimiento.-La elaboración de estas normas hace posible que se establezcan controles detodo tipo para el buen uso de los recursos informáticos, haciendo posiblesancionar a quiens incurran en las violaciones de los mismos y haciendoresponsable de sus actos.-Paraelaborar Normas y Políticas de Seguridad en la Información es necesarioel conocimiento de las acciones que lleva una empresa, así como de losempleados que la conforman a fin de involucrar a todos los entes activos en elmanejo de información.-Es de vital importancia que el cumplimiento de las mismas vaya desde losmandos operativos hasta los mandos gerenciales, de modo tal que toda laorganización se vea involucrada en el buen uso del recurso mas importante de laempresa: LA INFORMACIÓN. 32
  33. 33. 33

×