SlideShare una empresa de Scribd logo

Grupo 1 responsabilidad de usuario

Descargar como DOCX, PDF
Gustavo Martinez Saldias
Gustavo Martinez Saldias

...esta es la documentacion del primer grupo.

1 de 15
UNIVERSIDAD AUTÓNOMA GABRIEL RENÉ MORENO UNIDAD DE POSTGRADO FACULTAD INTEGRAL DEL CHACO DIPLOMADO EN SEGURIDAD INFORMÁTICA RESPONSABILIDADES DE USUARIO INTEGRANTES: ORIEL ARANCIBIA FERNANDEZ MIGUEL ANGEL JUSTINIANO VERA GUSTAVO MARTINEZ SALDIAS YASMANI MARTINEZ MAMANI GABRIELA INES JERÉZ ALVAREZ GRACIELA BAUTISTA G. MODULO IV: CONTROL DE ACCESO AL SISTEMA DOCENTE: ING. KAREM INFANTAS SOTO CAMIRI-BOLIVIA
MANUAL DE NORMAS Y POLITICAS Tabla de contenido 1. RESUMEN ........................................................................................................................................ 2 2. INTRODUCCION ............................................................................................................................... 2 3. POLÍTICAS DE CONTROL DE ACCESOS ............................................................................................. 4 3.1 Generalidades ........................................................................................................................... 4 3.2 Misión ........................................................................................................................................ 4 3.3 Visión ......................................................................................................................................... 4 3.4 Objetivo ..................................................................................................................................... 4 3.5 Alcance ...................................................................................................................................... 5 4. POLITICAS Y PROCEDIMIENTOS ...................................................................................................... 5 4.1 Requerimientos para el Control de Acceso ............................................................................... 5 4.2 RESPONSABILIDAD DE USUARIO ............................................................................................... 6 5. ORGANIGRAMA CASO DE ESTUDIO PYME COMERCIAL .................................................................. 7 6. CASO DE ESTUDIO (SITUACION IDEAL) ........................................................................................... 8 7. PRESUSPUESTO ............................................................................................................................... 9 8. ANEXOS ......................................................................................................................................... 10 8.1 ANEXO ..................................................................................................................................... 10 SECURIA–SGSI PROGRAMA DE ADMINISTRACION........................................................................ 10 8.2 ANEXO - RESPONSABILIDAD DE LOS USUARIOS FRENTE A LOS RECURSOS INFORMÁTICOS.. 12 8.3 ANEXO - CONTRASEÑAS – COMO ELEGIRLAS, DÓNDE CAMBIARLAS ..................................... 13 8.3 ANEXO - ....................................................................................................................................... 13 9. REFERENCIA BIBLIGRAFICA ........................................................................................................... 14 1
MANUAL DE NORMAS Y POLITICAS MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 1. RESUMEN Para impedir el acceso no autorizado a los sistemas de información se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento. El objetivo es Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización. Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos. 2. INTRODUCCION Los requerimientos de seguridad que involucran las tecnologías de la información, en pocos años han cobrado un gran auge, y más aún con las de carácter globalizador como los son la de Internet y en particular la relacionada con el Web, la visión de nuevos horizontes explorando más allá de las fronteras naturales, situación que ha llevado la aparición de nuevas amenazas en los sistemas computarizados. Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales desarrollen políticas que norman el uso adecuado de estas destrezas tecnológicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las políticas de seguridad en informática que proponemos emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la información y servicios críticos, de la superación de las fallas y de las debilidades, de tal forma que permiten a la organización cumplir con su misión. El proponer esta política de seguridad requiere un alto compromiso con la institución, agudeza técnica para establecer fallas y deficiencias, constancia para renovar y actualizar dicha política en función del ambiente dinámico que nos rodea. La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenir con las garantías básicas del individuo, y no pretende ser una camisa de fuerza, y más bien muestra una buena forma de operar el sistema con seguridad, respetando en todo momento estatutos y reglamentos vigentes de la Institución. Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la práctica como son: los inventarios y su control, se mencionan, así como todos los aspectos que representan un riesgo o las acciones donde se ve involucrada y que compete a las tecnologías de la información; se 2
MANUAL DE NORMAS Y POLITICAS han contemplado también las políticas que reflejan la visión de la actual administración respecto a la problemática de seguridad informática organizacional. Un Sistema Administrativo de Seguridad de la Información (Information Security Management System ISMS) es una forma sistemática de administrar la información Sensible de una compañía, para que permanezca segura. Abarca a las personas, los procesos y las Tecnologías de la Información. BSI ha publicado un reglamento de prácticas para estos sistemas, el ISO/IEC 17799, que está siendo internacionalmente adoptado. La seguridad de la información no termina al implementar el más reciente "firewall", o al sub-contratar a una compañía de seguridad las 24 horas. La forma total de la Seguridad de la Información, y la integración de diferentes iniciativas de seguridad, necesitan ser administradas para que cada elemento sea completamente efectivo. Aquí es donde entra el Sistema Administrativo de Seguridad de la Información - que le permite a la empresa, poder coordinar sus esfuerzos de seguridad con mayor efectividad.ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización, por lo que el aseguramiento de dicha información y de los sistemas que la procesan ha de ser un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. Seguidamente se resumen las distintas normas que componen la serie ISO 27000: ISO/IEC 27000 proporcionará una visión general del marco normativo y un vocabulario común utilizado por todas las normas de la serie. ISO/IEC 27001:2005 Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI). Publicada en 2005. ISO/IEC 27002:2005 Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizaren la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada en 2007. 3
MANUAL DE NORMAS Y POLITICAS 3. POLÍTICAS DE CONTROL DE ACCESOS 3.1 Generalidades El acceso por medio de un sistema de restricciones y excepciones a la información es la base de todo sistema de seguridad informática. Para impedir el acceso no autorizado a los sistemas de información se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento. La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es necesario concientizar a los mismos acerca de sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseñas y la seguridad del equipamiento. 3.2 Misión Establecer las directrices necesarias para el correcto funcionamiento de un sistema de gestión para la seguridad de la información, enmarcando su aplicabilidad en un proceso de desarrollo continuo y actualizable, apegado a los estándares internacionales desarrollados para tal fin. 3.3 Visión Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema de gestión de seguridad de la información, a través de la utilización de técnicas y herramientas que contribuyan a optimizar la administración de los recursos informáticos de la organización. 3.4 Objetivo Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información. Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización. Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos. 4
MANUAL DE NORMAS Y POLITICAS 3.5 Alcance La Política definida en este documento se aplica a todas las formas de acceso de aquellos a quienes se les haya otorgado permisos sobre los sistemas de información, bases de datos o servicios de información de la empresa, cualquiera sea la función que desempeñe. Asimismo se aplica al personal técnico que define, instala, administra y mantiene los permisos de acceso y las conexiones de red, y a los que administran su seguridad. 4. POLITICAS Y PROCEDIMIENTOS 4.1 Requerimientos para el Control de Acceso Objetivo.- controlar el acceso a la información Política de Control de Accesos Control.- Se debiera establecer, documentar y revisar la política de acceso en base a los requerimientos comerciales y de seguridad para el acceso. En la aplicación de controles de acceso, se contemplarán los siguientes aspectos: a) Identificar los requerimientos de seguridad de cada una de las aplicaciones. b) Identificar toda la información relacionada con las aplicaciones. c) Establecer criterios coherentes entre esta Política de Control de Acceso y la Política de Clasificación de Información de los diferentes sistemas y redes. d) Identificar la legislación aplicable y las obligaciones contractuales con respecto a la protección del acceso a datos y servicios. e) Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría depuestos de trabajo. SOLUCION: Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación. Registrar y revisas eventos y actividades criticas llevados por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas. 5
MANUAL DE NORMAS Y POLITICAS 4.2 RESPONSABILIDAD DE USUARIO OBJETIVO.- Objetivo: Evitar el acceso de usuarios no-autorizados, evitar poner en peligro la información y evitar el robo de información y los medios de procesamiento de la información. USO DE CLAVES SECRETAS Control: Se debiera requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de claves secretas. SOLUCIONES: Concientizar al usuario a manejar una contraseña que cumplan condiciones de clave segura. Programar tareas mensuales de cambio de contraseña. expired user password: Automatiza la obligación de cambiar la contraseña a usuarios registrados cada 30 días. Este software se aplica a usuarios que se requiera que cambien sus contraseñas cada sierto tiempo. EQUIPO DE USUARIOS DESATENDIDOS Control: Los usuarios deberían asegurar que los equipos tenga la protección adecuada. SOLUCIONES: Los usuarios deberán garantizar que los equipos sean protegidos adecuadamente. El administrador de sistemas debe coordinar con el encargado de ventas las tareas de concientización a todos los usuarios, a cerca de los procedimientos de seguridad para su respectiva protección. Proteger los ordenadores o terminales mediante un bloqueo de seguridad o control equivalente. Ejemplo contraseña de acceso cuando no se utiliza. Proteger mediante bloqueo adecuado, por ejemplo, un protector de pantallas protegidas por contraseña. POLITICA DE ESCRITORIO Y PANTALLA LIMPIO Control: Se debiera adoptar una política de escritorio limpio para papeles y medios de almacenaje removibles y una política de pantalla limpia para los medios de procesamiento de la información. SOLUCIONES: 6
MANUAL DE NORMAS Y POLITICAS El servidor de dominio deberá bloquear cualquier estación de trabajo con un protector de pantalla, que tenga un tiempo de inactividad mayor a un minuto. La práctica de guardar las contraseñas en papel adherido al monitor o áreas cercanas al equipo de trabajo, es una falta grave y sancionable. El gestor de seguridad debe desactivar cualquier característica de los sistemas o aplicaciones que les permita a los usuarios, almacenar localmente sus contraseñas. El usuario deberá estar consciente de los problemas de seguridad que acarrea la irresponsabilidad en la salvaguarda y uso de su contraseña. Usar destructoras de papel en caso que se quiera eliminar algún documento. 5. ORGANIGRAMA CASO DE ESTUDIO PYME COMERCIAL Administrador T. I. Comision Ventas Contabilidad Importaciones Sucursal 1 Sucursal 2 7
MANUAL DE NORMAS Y POLITICAS 6. CASO DE ESTUDIO (SITUACION IDEAL) CICLO DE MEJORA CONTINUA Para establecer y gestionar este sistema de gestión de la seguridad de la información se utilizaremos el ciclo PDCA. Esta metodología ha demostrado su aplicabilidad y ha permitido establecer la mejora continua en organizaciones de todas clases. El modelo PDCA o “Planificar-Hacer-Verificar-Actuar”, tiene una serie de fases y acciones que permiten establecer un modelo de indicadores y métricas comparables en el tiempo, de manera que se pueda cuantificar el avance en la mejora de la organización. A continuación desarrollaremos cada una de ellas: Planificar Esta fase se corresponde con establecer el Software SECURIA-SGSI. Planifica y diseñar el programa. Sistematizar las políticas a aplicar en la organización. Definir cuáles son los fines a alcanzar y en que ayudaran a lograr los objetivos de negocio. Identificar los medios que se utilizaran para ello. Proyectar como se enfocara el análisis de riesgos y los criterios que se seguirán para gestionar las contingencias de modo coherente con las políticas y objetivos de seguridad. Hacer En esta fase se implementara y se pondrá en funcionamiento de SECURIA-SGSI. Las políticas y los controles escogidos para cumplirlas se implementan mediante recursos técnicos. Se asignan responsables a cada tarea para comenzar a ejecutarlas según las instrucciones. Se implementara el software SMART PC LOCKER, una sencilla aplicación para Windows que hace las veces de muralla defensiva contra terceros, impidiéndoles acceder a tu ordenador tras configurar una contraseña segura. Se aplicara el software EXPIRED USER PASSWORD que se aplica a usuarios que se requiera que cambien sus contraseñas cada cierto tiempo. Verificar En esta fase se realizara la monitorización y revisión del SECURIA-SGSI. Se controlara que los procesos se ejecutan como se ha establecido, de manera eficaz y eficiente, alcanzando los objetivos definidos para ellos. 8
MANUAL DE NORMAS Y POLITICAS Se verificar el grado de cumplimiento de las políticas y procedimientos, identificando los fallos que pudieran existir y, hasta donde sea posible, su origen, mediante revisiones y auditorias. Actualizar Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar los fallos, detectados en las auditorías internas y revisiones del SECURIA-SGSI. Revisar otras informaciones relevantes para permitir la mejora permanente del SECURIA- SGSI. 7. PRESUSPUESTO SOFTWARE N° DETALLE COSTO ( USD) 1 SECURIA-SGSI 0 2 EXPIRED USER PASSWORD 0 3 SMART PC LOCKER 0 TOTAL 0 PERSONAL N° DETALLE COSTO ( USD) 1 CAPACITACION EN EL USO DE POLITICA DE CONTROL DE 400 ACCESO 2 CAPACITACION USO DE CLAVES 300 3 CAPACITACION EQUIPOS DESATENDIDOS 255 4 CAPACITACION ESCRITORIO Y PANTALLA LIMPIA 300 TOTAL 1255 9
MANUAL DE NORMAS Y POLITICAS 8. ANEXOS 8.1 ANEXO SECURIA–SGSI PROGRAMA DE ADMINISTRACION INGRESO A PROGRAMA ADMINISTRACION SECURIA – SGSI PROGRAMA CLIENTE INGRESO A PROGRAMA CLIENTE 10
MANUAL DE NORMAS Y POLITICAS ACCIONES PREVENTIVAS INFORME DETALLADO DE LA ACCION 11
MANUAL DE NORMAS Y POLITICAS 8.2 ANEXO - RESPONSABILIDAD DE LOS USUARIOS FRENTE A LOS RECURSOS INFORMÁTICOS Cuando la Entidad le asigna un recurso informático para el cumplimiento de sus funciones, usted asume la responsabilidad sobre dicho recurso, es decir, que debe velar por controlarlo y mantenerlo en buen estado. Mantener los recursos informáticos en óptimas condiciones le ayudará a desempeñar sus funciones sin retrasos ni contratiempos. Para cumplir con este objetivo, además del cuidado normal que se debe tener con cualquier equipo electrónico, no debe modificar el software ni el hardware instalado. Seguridad en los puestos de trabajo. De la seguridad en los puestos de trabajo depende en gran parte el nivel de la Seguridad Informática de la UAEAC. Por esta razón se presentan unas prácticas básicas de fácil ejecución que ayudan a mantener los puestos de trabajo en los niveles adecuados de seguridad y que le permitirán conservar los recursos informáticos bajo su responsabilidad, en las condiciones en que le fueron entregados. A continuación se dan unas guías para mejorar la seguridad en sus puestos de trabajo. Cuándo se vaya a ausentar por corto tiempo bloquee su sesión, de lo contrario apague el computador. Uno puede pensar que no va a pasar nada si va al baño y deja la sesión abierta, pero la realidad es que en un minuto pueden ocurrir muchas cosas en su computador como por ejemplo copiar información importante, consultar su correo electrónico, borrar información, enviar un correo electrónico en su nombre, etc. Nunca deje documentos sobre su escritorio, guárdelos en gabinetes con llave. Documentos, disquetes y apuntes entre otros, pueden llegar a manos equivocadas, lo cual genera un gran riesgo para la UAEAC y más aún cuando la información contenida en ellos es sensible. No digite su contraseña si sospecha que está siendo observada. Las contraseñas son personales y tienen el caracter de confidencial. Si su contraseña fuera conocida por alguien, este podría revisar su correo, suplantarlo, tener acceso a la información que usted maneja e incluso atentar contra su buen nombre haciendo mal uso de los recursos informáticos que están bajo su responsabilidad. 12
MANUAL DE NORMAS Y POLITICAS Si observa actividad sospechosa en algún puesto de trabajo denúnciela a Seguridad Informática. Un candado puede ser la solución para la pérdida de memoria Ciertos computadores permiten en la parte de atrás la instalación de un candado que impide que el equipo sea abierto y en consecuencia, que le sean hurtados elementos de hardware, por ejemplo memoria, procesador, discos duros, etc. 8.3 ANEXO - CONTRASEÑAS – COMO ELEGIRLAS, DÓNDE CAMBIARLAS La contraseña debe de ser fácil de recordar, de manera que no haya que escribirla o guardarla en un archivo en el equipo. Conviene elegir una contraseña que: - Tenga 8 o más caracteres. - Combine mayúsculas, minúsculas y números. - No figure, o tenga probabilidad de figurar, en un diccionario. - Sea difícil de adivinar: nunca use el nombre de la pareja, hijos, mascota, matrícula del coche, fecha de nacimiento, código postal, etc. etc. Conviene usar una frase en vez de una palabra como contraseña, porque es más difícil de adivinar. Cuando se manejan diferentes sistemas que requieren una contraseña para cada sistema, nunca hay que repetir la misma contraseña para diferentes sistemas. Tampoco usar contraseñas "recicladas", que tienen pequeños cambios para cada sistema (p ej. "pepito1" para el sistema 1, y "pepito2" para el sistema 2) Por supuesto, no se debe revelar la contraseña a nadie, tampoco escribirla ni tenerla registrada en ninguna parte más que en la propia cabeza. 8.3 ANEXO - LA SEGURIDAD INFORMATICA. LOS USUARIOS Y LAS EMPRESAS SIEMPRE EN ALERTA A menudo tendemos a referirnos a la seguridad informática haciendo hincapié en la importancia del usuario en la misma, en la importancia de sus hábitos, sus costumbres, sus usos e incluso los programas que adquiere para llevar a cabo la protección total de su sistema. No es poco frecuente apelar a la responsabilidad del usuario medio para evitar que un virus peligroso se propague o para alertar de los riesgos que un agujero de seguridad 13
MANUAL DE NORMAS Y POLITICAS descubierto en un programa puede provocar, no solo para ese usuario en concreto sino para el resto de la comunidad online. Las empresas, autoridades y blogs de internet suelen poner siempre el dedo en la yaga alertando a cada uno de sus lectores o ciudadanos sobre la importancia de mantener una correcta y continua protección contra sus ordenadores. Sin embargo, y admitiendo que, lógicamente este punto es fundamental y vital en la organización y mantenimiento de una internet lo más saludable posible, no podemos obviar ni olvidar la importancia que la seguridad tiene también desde las propias empresas, es decir, desde los usuarios de más alto rango de la red de redes. De nada servir mantener a un usuario informado, preparado y alerta si a continuación las grandes cabezas pensantes comenten errores infantiles que ayudan, no solo a la propagación de virus y demás sino a la existencia de productos finales vulnerables que terminan llegando a nuestros ordenadores. Durante la reciente Bsecure Conference, ante más de 120 asistentes, Jesús Torrecillas, consultor de seguridad de Cemex hizo hincapié en algunos los errores que cometen las empresas a la hora de diseñar sus políticas de seguridad, destacando algunos como: 1. Utilizar gente sin experiencia para el ámbito de la seguridad. 2. Poco conocimiento sobre la seguridad integral. 3. Fiarse demasiado de cierto tipo de medios de seguridad, obviando otros. 4. Externalizar la seguridad de la empresa. 5. No dar soluciones a largo plazo sino parches a corto. Y un largo etcétera que nos sirve como ejemplo para llamar la atención sobre la importancia de que la seguridad empiece por las propias empresas y continúe, de manera clara y contundente, en los usuarios finales. 9. REFERENCIA BIBLIGRAFICA http://www.securia.es/forja/index.php?option=com_content&task=view&id=20&Itemid=1 http://www.securia.es/forja/index.php?option=com_docman&task=cat_view&gid=13&&Itemid=3 http://muyseguridad.net/2012/09/18/smart-pc-locker-y-bloquea-tu-windows-bien-bloqueado/ http://ebookbrowse.com/expired-password-reset-tutorial-pdf-d232045489 http://expired-password.winsite.com/ 14

Recomendados

Organización de archivos
Organización de archivosOrganización de archivos
Organización de archivos
Fernando Baculima
 
Estructura de datos: lista, pilas y colas
Estructura de datos: lista, pilas y colasEstructura de datos: lista, pilas y colas
Estructura de datos: lista, pilas y colas
Huascar Génere
 
Diseño y normas en un centro de cómputo
Diseño y normas en un centro de cómputoDiseño y normas en un centro de cómputo
Diseño y normas en un centro de cómputo
Martin Pacheco Chávez
 
Técnicas de Recuperación Bases de Datos
Técnicas de Recuperación Bases de DatosTécnicas de Recuperación Bases de Datos
Técnicas de Recuperación Bases de Datos
Lork Ederwin
 
Organización lógica y física.
Organización lógica y física.Organización lógica y física.
Organización lógica y física.
Lely
 
Algoritmos de Ordenamiento Externo.
Algoritmos de Ordenamiento Externo.Algoritmos de Ordenamiento Externo.
Algoritmos de Ordenamiento Externo.
Universidad de Cuenca
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputo
ssuserdd0f8d
 
Autómatas y complejidad
Autómatas y complejidadAutómatas y complejidad
Autómatas y complejidad
Renzo Jose Fuentes Ramos
 

Recomendados

Organización de archivos
Organización de archivosOrganización de archivos
Organización de archivos
Fernando Baculima
 
Estructura de datos: lista, pilas y colas
Estructura de datos: lista, pilas y colasEstructura de datos: lista, pilas y colas
Estructura de datos: lista, pilas y colas
Huascar Génere
 
Diseño y normas en un centro de cómputo
Diseño y normas en un centro de cómputoDiseño y normas en un centro de cómputo
Diseño y normas en un centro de cómputo
Martin Pacheco Chávez
 
Técnicas de Recuperación Bases de Datos
Técnicas de Recuperación Bases de DatosTécnicas de Recuperación Bases de Datos
Técnicas de Recuperación Bases de Datos
Lork Ederwin
 
Organización lógica y física.
Organización lógica y física.Organización lógica y física.
Organización lógica y física.
Lely
 
Algoritmos de Ordenamiento Externo.
Algoritmos de Ordenamiento Externo.Algoritmos de Ordenamiento Externo.
Algoritmos de Ordenamiento Externo.
Universidad de Cuenca
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputo
ssuserdd0f8d
 
Autómatas y complejidad
Autómatas y complejidadAutómatas y complejidad
Autómatas y complejidad
Renzo Jose Fuentes Ramos
 
Archivos secuenciales
Archivos secuencialesArchivos secuenciales
Archivos secuenciales
sekt07
 
Diseño y normas para data centers
Diseño y normas para data centersDiseño y normas para data centers
Diseño y normas para data centers
Carlos Joa
 
Limpieza en Equipo de Cómputo (Interna y Externa)
Limpieza en Equipo de Cómputo (Interna y Externa)Limpieza en Equipo de Cómputo (Interna y Externa)
Limpieza en Equipo de Cómputo (Interna y Externa)
Pedro Contreras
 
Líneas de Investigación Ingeniería de Sistemas UDO Monagas
Líneas de Investigación Ingeniería de Sistemas UDO MonagasLíneas de Investigación Ingeniería de Sistemas UDO Monagas
Líneas de Investigación Ingeniería de Sistemas UDO Monagas
Germaina
 
Recursividad
RecursividadRecursividad
Recursividad
TAtiizz Villalobos
 
Documentación de sistemas
Documentación de sistemasDocumentación de sistemas
Documentación de sistemas
Gladys Rodriguez
 
Informe practica de mantenimiento preventivo
Informe practica de mantenimiento preventivoInforme practica de mantenimiento preventivo
Informe practica de mantenimiento preventivo
danielestevan172
 
Diseño de sistemas
Diseño de sistemasDiseño de sistemas
Diseño de sistemas
Juank Grifin
 
Grafos bipartitos y subgrafos
Grafos bipartitos y subgrafosGrafos bipartitos y subgrafos
Grafos bipartitos y subgrafos
Asdrúbal Suárez
 
Procesadores multinucleo
Procesadores multinucleoProcesadores multinucleo
Procesadores multinucleo
celsox
 
1.5.1 Representación en memoria estática y dinámica.pptx
1.5.1 Representación en memoria estática y dinámica.pptx1.5.1 Representación en memoria estática y dinámica.pptx
1.5.1 Representación en memoria estática y dinámica.pptx
Fernando Solis
 
Normas de seguridad para desensamble de una pc
Normas de seguridad para desensamble de una pcNormas de seguridad para desensamble de una pc
Normas de seguridad para desensamble de una pc
Daniel Rodriguezz
 
Consideraciones para la instalacion de un centro de computo
Consideraciones para la instalacion de un centro de computoConsideraciones para la instalacion de un centro de computo
Consideraciones para la instalacion de un centro de computo
Oscar Hernandez
 
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
TECHNOLOGYINT
 
Backtracking
BacktrackingBacktracking
Backtracking
cristian torres
 
Tablespaces En Oracle
Tablespaces En OracleTablespaces En Oracle
Tablespaces En Oracle
Jesús Armand Calejero Román
 
Presentación inserción directa y binaria
Presentación inserción directa y binariaPresentación inserción directa y binaria
Presentación inserción directa y binaria
Claudia Tona Castro
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
myriam sarango
 
Arquitectura del computador
Arquitectura del computadorArquitectura del computador
Arquitectura del computador
alexis armas
 
Sistemas Operativos - Semáforos
Sistemas Operativos - SemáforosSistemas Operativos - Semáforos
Sistemas Operativos - Semáforos
Juan Rojas
 
caracteristicas de lo usuarios
caracteristicas de lo usuarioscaracteristicas de lo usuarios
caracteristicas de lo usuarios
karo1
 
Caracteristica de usuario etulain
Caracteristica de usuario etulainCaracteristica de usuario etulain
Caracteristica de usuario etulain
Vale Etulain Parodi
 

Más contenido relacionado

La actualidad más candente

Archivos secuenciales
Archivos secuencialesArchivos secuenciales
Archivos secuenciales
sekt07
 
Líneas de Investigación Ingeniería de Sistemas UDO Monagas
Líneas de Investigación Ingeniería de Sistemas UDO MonagasLíneas de Investigación Ingeniería de Sistemas UDO Monagas
Líneas de Investigación Ingeniería de Sistemas UDO Monagas
Germaina
 
Documentación de sistemas
Documentación de sistemasDocumentación de sistemas
Documentación de sistemas
Gladys Rodriguez
 
Grafos bipartitos y subgrafos
Grafos bipartitos y subgrafosGrafos bipartitos y subgrafos
Grafos bipartitos y subgrafos
Asdrúbal Suárez
 
Procesadores multinucleo
Procesadores multinucleoProcesadores multinucleo
Procesadores multinucleo
celsox
 
Normas de seguridad para desensamble de una pc
Normas de seguridad para desensamble de una pcNormas de seguridad para desensamble de una pc
Normas de seguridad para desensamble de una pc
Daniel Rodriguezz
 
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
TECHNOLOGYINT
 

La actualidad más candente (20)

Archivos secuenciales
Archivos secuencialesArchivos secuenciales
Archivos secuenciales
 
Diseño y normas para data centers
Diseño y normas para data centersDiseño y normas para data centers
Diseño y normas para data centers
 
Limpieza en Equipo de Cómputo (Interna y Externa)
Limpieza en Equipo de Cómputo (Interna y Externa)Limpieza en Equipo de Cómputo (Interna y Externa)
Limpieza en Equipo de Cómputo (Interna y Externa)
 
Líneas de Investigación Ingeniería de Sistemas UDO Monagas
Líneas de Investigación Ingeniería de Sistemas UDO MonagasLíneas de Investigación Ingeniería de Sistemas UDO Monagas
Líneas de Investigación Ingeniería de Sistemas UDO Monagas
 
Recursividad
RecursividadRecursividad
Recursividad
 
Documentación de sistemas
Documentación de sistemasDocumentación de sistemas
Documentación de sistemas
 
Informe practica de mantenimiento preventivo
Informe practica de mantenimiento preventivoInforme practica de mantenimiento preventivo
Informe practica de mantenimiento preventivo
 
Diseño de sistemas
Diseño de sistemasDiseño de sistemas
Diseño de sistemas
 
Grafos bipartitos y subgrafos
Grafos bipartitos y subgrafosGrafos bipartitos y subgrafos
Grafos bipartitos y subgrafos
 
Procesadores multinucleo
Procesadores multinucleoProcesadores multinucleo
Procesadores multinucleo
 
1.5.1 Representación en memoria estática y dinámica.pptx
1.5.1 Representación en memoria estática y dinámica.pptx1.5.1 Representación en memoria estática y dinámica.pptx
1.5.1 Representación en memoria estática y dinámica.pptx
 
Normas de seguridad para desensamble de una pc
Normas de seguridad para desensamble de una pcNormas de seguridad para desensamble de una pc
Normas de seguridad para desensamble de una pc
 
Consideraciones para la instalacion de un centro de computo
Consideraciones para la instalacion de un centro de computoConsideraciones para la instalacion de un centro de computo
Consideraciones para la instalacion de un centro de computo
 
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
 
Backtracking
BacktrackingBacktracking
Backtracking
 
Tablespaces En Oracle
Tablespaces En OracleTablespaces En Oracle
Tablespaces En Oracle
 
Presentación inserción directa y binaria
Presentación inserción directa y binariaPresentación inserción directa y binaria
Presentación inserción directa y binaria
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
 
Arquitectura del computador
Arquitectura del computadorArquitectura del computador
Arquitectura del computador
 
Sistemas Operativos - Semáforos
Sistemas Operativos - SemáforosSistemas Operativos - Semáforos
Sistemas Operativos - Semáforos
 

Destacado

caracteristicas de lo usuarios
caracteristicas de lo usuarioscaracteristicas de lo usuarios
caracteristicas de lo usuarios
karo1
 
Caracteristica de usuario etulain
Caracteristica de usuario etulainCaracteristica de usuario etulain
Caracteristica de usuario etulain
Vale Etulain Parodi
 
Manejo cuenta usuario
Manejo cuenta usuarioManejo cuenta usuario
Manejo cuenta usuario
tecnologia01
 
Cuidado y protección del equipo de computo
Cuidado y protección del equipo de computoCuidado y protección del equipo de computo
Cuidado y protección del equipo de computo
Richard Andres Cardona
 
Importancia de los Usuarios en el Desarrollo de sistemas
Importancia de los Usuarios en el Desarrollo de sistemasImportancia de los Usuarios en el Desarrollo de sistemas
Importancia de los Usuarios en el Desarrollo de sistemas
SergioBohorquez16
 
123456 trabajo desarrollo de sistemas contables i
123456 trabajo desarrollo de sistemas contables i123456 trabajo desarrollo de sistemas contables i
123456 trabajo desarrollo de sistemas contables i
Niko Humpire
 
Tipos de usuarios de base de datos diapositivas
Tipos de usuarios de base de datos diapositivasTipos de usuarios de base de datos diapositivas
Tipos de usuarios de base de datos diapositivas
grupo niche ortega
 
Tipos de usuarios de los sistemas de informacion
Tipos de usuarios de los sistemas de informacionTipos de usuarios de los sistemas de informacion
Tipos de usuarios de los sistemas de informacion
Üri MG
 
Tipos de usuarios
Tipos de usuariosTipos de usuarios
Tipos de usuarios
manuelit17
 
Enfermeria y responsabilidad legal
Enfermeria y responsabilidad legalEnfermeria y responsabilidad legal
Enfermeria y responsabilidad legal
Mina Sam Sam
 

Destacado (20)

caracteristicas de lo usuarios
caracteristicas de lo usuarioscaracteristicas de lo usuarios
caracteristicas de lo usuarios
 
Caracteristica de usuario etulain
Caracteristica de usuario etulainCaracteristica de usuario etulain
Caracteristica de usuario etulain
 
Tareas y responsabilidades del administrador del sistema
Tareas y responsabilidades del administrador del sistemaTareas y responsabilidades del administrador del sistema
Tareas y responsabilidades del administrador del sistema
 
Manejo cuenta usuario
Manejo cuenta usuarioManejo cuenta usuario
Manejo cuenta usuario
 
U4 interfaz de usuario
U4 interfaz de usuarioU4 interfaz de usuario
U4 interfaz de usuario
 
Cuidado y protección del equipo de computo
Cuidado y protección del equipo de computoCuidado y protección del equipo de computo
Cuidado y protección del equipo de computo
 
Importancia de los Usuarios en el Desarrollo de sistemas
Importancia de los Usuarios en el Desarrollo de sistemasImportancia de los Usuarios en el Desarrollo de sistemas
Importancia de los Usuarios en el Desarrollo de sistemas
 
Construir una red de área local
Construir una red de área localConstruir una red de área local
Construir una red de área local
 
123456 trabajo desarrollo de sistemas contables i
123456 trabajo desarrollo de sistemas contables i123456 trabajo desarrollo de sistemas contables i
123456 trabajo desarrollo de sistemas contables i
 
Red y Funciones Del Administrador
Red y Funciones Del AdministradorRed y Funciones Del Administrador
Red y Funciones Del Administrador
 
Clientes- usuarios INFORMATICOS
Clientes- usuarios INFORMATICOSClientes- usuarios INFORMATICOS
Clientes- usuarios INFORMATICOS
 
Tipos de usuarios de base de datos diapositivas
Tipos de usuarios de base de datos diapositivasTipos de usuarios de base de datos diapositivas
Tipos de usuarios de base de datos diapositivas
 
Revista de enfermeria
Revista de enfermeriaRevista de enfermeria
Revista de enfermeria
 
ejecución enfermería
ejecución enfermería ejecución enfermería
ejecución enfermería
 
Tipos de usuarios de los sistemas de informacion
Tipos de usuarios de los sistemas de informacionTipos de usuarios de los sistemas de informacion
Tipos de usuarios de los sistemas de informacion
 
Tipos de usuarios
Tipos de usuariosTipos de usuarios
Tipos de usuarios
 
Responsabilidad profesional
Responsabilidad profesionalResponsabilidad profesional
Responsabilidad profesional
 
IntroduccióN A Los Sistemas Operativos De Red
IntroduccióN A Los Sistemas Operativos De RedIntroduccióN A Los Sistemas Operativos De Red
IntroduccióN A Los Sistemas Operativos De Red
 
Ética responsabilidad y enfermería
Ética responsabilidad y enfermeríaÉtica responsabilidad y enfermería
Ética responsabilidad y enfermería
 
Enfermeria y responsabilidad legal
Enfermeria y responsabilidad legalEnfermeria y responsabilidad legal
Enfermeria y responsabilidad legal
 

Similar a Grupo 1 responsabilidad de usuario

Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
mCarmen32
 
Documentos final.11.7
Documentos final.11.7Documentos final.11.7
Documentos final.11.7
Whitman Perez
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicano
Sole Leraguii
 
Analisis pymes ajv
Analisis pymes ajvAnalisis pymes ajv
Analisis pymes ajv
ajv_86
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
edwin damian pavon
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
yeniferbaez
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
santosperez
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
xavazquez
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
Lilian Ramirez
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
JUAN ENRIQUE
 

Similar a Grupo 1 responsabilidad de usuario (20)

Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Documentos final.11.7
Documentos final.11.7Documentos final.11.7
Documentos final.11.7
 
Modulo
ModuloModulo
Modulo
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicano
 
Actividad da la guia de seguridad
Actividad da la guia de seguridadActividad da la guia de seguridad
Actividad da la guia de seguridad
 
Analisis pymes ajv
Analisis pymes ajvAnalisis pymes ajv
Analisis pymes ajv
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojas
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsi
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 

Grupo 1 responsabilidad de usuario

  • 1. UNIVERSIDAD AUTÓNOMA GABRIEL RENÉ MORENO UNIDAD DE POSTGRADO FACULTAD INTEGRAL DEL CHACO DIPLOMADO EN SEGURIDAD INFORMÁTICA RESPONSABILIDADES DE USUARIO INTEGRANTES: ORIEL ARANCIBIA FERNANDEZ MIGUEL ANGEL JUSTINIANO VERA GUSTAVO MARTINEZ SALDIAS YASMANI MARTINEZ MAMANI GABRIELA INES JERÉZ ALVAREZ GRACIELA BAUTISTA G. MODULO IV: CONTROL DE ACCESO AL SISTEMA DOCENTE: ING. KAREM INFANTAS SOTO CAMIRI-BOLIVIA
  • 2. MANUAL DE NORMAS Y POLITICAS Tabla de contenido 1. RESUMEN ........................................................................................................................................ 2 2. INTRODUCCION ............................................................................................................................... 2 3. POLÍTICAS DE CONTROL DE ACCESOS ............................................................................................. 4 3.1 Generalidades ........................................................................................................................... 4 3.2 Misión ........................................................................................................................................ 4 3.3 Visión ......................................................................................................................................... 4 3.4 Objetivo ..................................................................................................................................... 4 3.5 Alcance ...................................................................................................................................... 5 4. POLITICAS Y PROCEDIMIENTOS ...................................................................................................... 5 4.1 Requerimientos para el Control de Acceso ............................................................................... 5 4.2 RESPONSABILIDAD DE USUARIO ............................................................................................... 6 5. ORGANIGRAMA CASO DE ESTUDIO PYME COMERCIAL .................................................................. 7 6. CASO DE ESTUDIO (SITUACION IDEAL) ........................................................................................... 8 7. PRESUSPUESTO ............................................................................................................................... 9 8. ANEXOS ......................................................................................................................................... 10 8.1 ANEXO ..................................................................................................................................... 10 SECURIA–SGSI PROGRAMA DE ADMINISTRACION........................................................................ 10 8.2 ANEXO - RESPONSABILIDAD DE LOS USUARIOS FRENTE A LOS RECURSOS INFORMÁTICOS.. 12 8.3 ANEXO - CONTRASEÑAS – COMO ELEGIRLAS, DÓNDE CAMBIARLAS ..................................... 13 8.3 ANEXO - ....................................................................................................................................... 13 9. REFERENCIA BIBLIGRAFICA ........................................................................................................... 14 1
  • 3. MANUAL DE NORMAS Y POLITICAS MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA 1. RESUMEN Para impedir el acceso no autorizado a los sistemas de información se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento. El objetivo es Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización. Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos. 2. INTRODUCCION Los requerimientos de seguridad que involucran las tecnologías de la información, en pocos años han cobrado un gran auge, y más aún con las de carácter globalizador como los son la de Internet y en particular la relacionada con el Web, la visión de nuevos horizontes explorando más allá de las fronteras naturales, situación que ha llevado la aparición de nuevas amenazas en los sistemas computarizados. Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales desarrollen políticas que norman el uso adecuado de estas destrezas tecnológicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las políticas de seguridad en informática que proponemos emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la información y servicios críticos, de la superación de las fallas y de las debilidades, de tal forma que permiten a la organización cumplir con su misión. El proponer esta política de seguridad requiere un alto compromiso con la institución, agudeza técnica para establecer fallas y deficiencias, constancia para renovar y actualizar dicha política en función del ambiente dinámico que nos rodea. La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenir con las garantías básicas del individuo, y no pretende ser una camisa de fuerza, y más bien muestra una buena forma de operar el sistema con seguridad, respetando en todo momento estatutos y reglamentos vigentes de la Institución. Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la práctica como son: los inventarios y su control, se mencionan, así como todos los aspectos que representan un riesgo o las acciones donde se ve involucrada y que compete a las tecnologías de la información; se 2
  • 4. MANUAL DE NORMAS Y POLITICAS han contemplado también las políticas que reflejan la visión de la actual administración respecto a la problemática de seguridad informática organizacional. Un Sistema Administrativo de Seguridad de la Información (Information Security Management System ISMS) es una forma sistemática de administrar la información Sensible de una compañía, para que permanezca segura. Abarca a las personas, los procesos y las Tecnologías de la Información. BSI ha publicado un reglamento de prácticas para estos sistemas, el ISO/IEC 17799, que está siendo internacionalmente adoptado. La seguridad de la información no termina al implementar el más reciente "firewall", o al sub-contratar a una compañía de seguridad las 24 horas. La forma total de la Seguridad de la Información, y la integración de diferentes iniciativas de seguridad, necesitan ser administradas para que cada elemento sea completamente efectivo. Aquí es donde entra el Sistema Administrativo de Seguridad de la Información - que le permite a la empresa, poder coordinar sus esfuerzos de seguridad con mayor efectividad.ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización, por lo que el aseguramiento de dicha información y de los sistemas que la procesan ha de ser un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. Seguidamente se resumen las distintas normas que componen la serie ISO 27000: ISO/IEC 27000 proporcionará una visión general del marco normativo y un vocabulario común utilizado por todas las normas de la serie. ISO/IEC 27001:2005 Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI). Publicada en 2005. ISO/IEC 27002:2005 Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizaren la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada en 2007. 3
  • 5. MANUAL DE NORMAS Y POLITICAS 3. POLÍTICAS DE CONTROL DE ACCESOS 3.1 Generalidades El acceso por medio de un sistema de restricciones y excepciones a la información es la base de todo sistema de seguridad informática. Para impedir el acceso no autorizado a los sistemas de información se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento. La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es necesario concientizar a los mismos acerca de sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseñas y la seguridad del equipamiento. 3.2 Misión Establecer las directrices necesarias para el correcto funcionamiento de un sistema de gestión para la seguridad de la información, enmarcando su aplicabilidad en un proceso de desarrollo continuo y actualizable, apegado a los estándares internacionales desarrollados para tal fin. 3.3 Visión Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema de gestión de seguridad de la información, a través de la utilización de técnicas y herramientas que contribuyan a optimizar la administración de los recursos informáticos de la organización. 3.4 Objetivo Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información. Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización. Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos. 4
  • 6. MANUAL DE NORMAS Y POLITICAS 3.5 Alcance La Política definida en este documento se aplica a todas las formas de acceso de aquellos a quienes se les haya otorgado permisos sobre los sistemas de información, bases de datos o servicios de información de la empresa, cualquiera sea la función que desempeñe. Asimismo se aplica al personal técnico que define, instala, administra y mantiene los permisos de acceso y las conexiones de red, y a los que administran su seguridad. 4. POLITICAS Y PROCEDIMIENTOS 4.1 Requerimientos para el Control de Acceso Objetivo.- controlar el acceso a la información Política de Control de Accesos Control.- Se debiera establecer, documentar y revisar la política de acceso en base a los requerimientos comerciales y de seguridad para el acceso. En la aplicación de controles de acceso, se contemplarán los siguientes aspectos: a) Identificar los requerimientos de seguridad de cada una de las aplicaciones. b) Identificar toda la información relacionada con las aplicaciones. c) Establecer criterios coherentes entre esta Política de Control de Acceso y la Política de Clasificación de Información de los diferentes sistemas y redes. d) Identificar la legislación aplicable y las obligaciones contractuales con respecto a la protección del acceso a datos y servicios. e) Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría depuestos de trabajo. SOLUCION: Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación. Registrar y revisas eventos y actividades criticas llevados por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas. 5
  • 7. MANUAL DE NORMAS Y POLITICAS 4.2 RESPONSABILIDAD DE USUARIO OBJETIVO.- Objetivo: Evitar el acceso de usuarios no-autorizados, evitar poner en peligro la información y evitar el robo de información y los medios de procesamiento de la información. USO DE CLAVES SECRETAS Control: Se debiera requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de claves secretas. SOLUCIONES: Concientizar al usuario a manejar una contraseña que cumplan condiciones de clave segura. Programar tareas mensuales de cambio de contraseña. expired user password: Automatiza la obligación de cambiar la contraseña a usuarios registrados cada 30 días. Este software se aplica a usuarios que se requiera que cambien sus contraseñas cada sierto tiempo. EQUIPO DE USUARIOS DESATENDIDOS Control: Los usuarios deberían asegurar que los equipos tenga la protección adecuada. SOLUCIONES: Los usuarios deberán garantizar que los equipos sean protegidos adecuadamente. El administrador de sistemas debe coordinar con el encargado de ventas las tareas de concientización a todos los usuarios, a cerca de los procedimientos de seguridad para su respectiva protección. Proteger los ordenadores o terminales mediante un bloqueo de seguridad o control equivalente. Ejemplo contraseña de acceso cuando no se utiliza. Proteger mediante bloqueo adecuado, por ejemplo, un protector de pantallas protegidas por contraseña. POLITICA DE ESCRITORIO Y PANTALLA LIMPIO Control: Se debiera adoptar una política de escritorio limpio para papeles y medios de almacenaje removibles y una política de pantalla limpia para los medios de procesamiento de la información. SOLUCIONES: 6
  • 8. MANUAL DE NORMAS Y POLITICAS El servidor de dominio deberá bloquear cualquier estación de trabajo con un protector de pantalla, que tenga un tiempo de inactividad mayor a un minuto. La práctica de guardar las contraseñas en papel adherido al monitor o áreas cercanas al equipo de trabajo, es una falta grave y sancionable. El gestor de seguridad debe desactivar cualquier característica de los sistemas o aplicaciones que les permita a los usuarios, almacenar localmente sus contraseñas. El usuario deberá estar consciente de los problemas de seguridad que acarrea la irresponsabilidad en la salvaguarda y uso de su contraseña. Usar destructoras de papel en caso que se quiera eliminar algún documento. 5. ORGANIGRAMA CASO DE ESTUDIO PYME COMERCIAL Administrador T. I. Comision Ventas Contabilidad Importaciones Sucursal 1 Sucursal 2 7
  • 9. MANUAL DE NORMAS Y POLITICAS 6. CASO DE ESTUDIO (SITUACION IDEAL) CICLO DE MEJORA CONTINUA Para establecer y gestionar este sistema de gestión de la seguridad de la información se utilizaremos el ciclo PDCA. Esta metodología ha demostrado su aplicabilidad y ha permitido establecer la mejora continua en organizaciones de todas clases. El modelo PDCA o “Planificar-Hacer-Verificar-Actuar”, tiene una serie de fases y acciones que permiten establecer un modelo de indicadores y métricas comparables en el tiempo, de manera que se pueda cuantificar el avance en la mejora de la organización. A continuación desarrollaremos cada una de ellas: Planificar Esta fase se corresponde con establecer el Software SECURIA-SGSI. Planifica y diseñar el programa. Sistematizar las políticas a aplicar en la organización. Definir cuáles son los fines a alcanzar y en que ayudaran a lograr los objetivos de negocio. Identificar los medios que se utilizaran para ello. Proyectar como se enfocara el análisis de riesgos y los criterios que se seguirán para gestionar las contingencias de modo coherente con las políticas y objetivos de seguridad. Hacer En esta fase se implementara y se pondrá en funcionamiento de SECURIA-SGSI. Las políticas y los controles escogidos para cumplirlas se implementan mediante recursos técnicos. Se asignan responsables a cada tarea para comenzar a ejecutarlas según las instrucciones. Se implementara el software SMART PC LOCKER, una sencilla aplicación para Windows que hace las veces de muralla defensiva contra terceros, impidiéndoles acceder a tu ordenador tras configurar una contraseña segura. Se aplicara el software EXPIRED USER PASSWORD que se aplica a usuarios que se requiera que cambien sus contraseñas cada cierto tiempo. Verificar En esta fase se realizara la monitorización y revisión del SECURIA-SGSI. Se controlara que los procesos se ejecutan como se ha establecido, de manera eficaz y eficiente, alcanzando los objetivos definidos para ellos. 8
  • 10. MANUAL DE NORMAS Y POLITICAS Se verificar el grado de cumplimiento de las políticas y procedimientos, identificando los fallos que pudieran existir y, hasta donde sea posible, su origen, mediante revisiones y auditorias. Actualizar Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar los fallos, detectados en las auditorías internas y revisiones del SECURIA-SGSI. Revisar otras informaciones relevantes para permitir la mejora permanente del SECURIA- SGSI. 7. PRESUSPUESTO SOFTWARE N° DETALLE COSTO ( USD) 1 SECURIA-SGSI 0 2 EXPIRED USER PASSWORD 0 3 SMART PC LOCKER 0 TOTAL 0 PERSONAL N° DETALLE COSTO ( USD) 1 CAPACITACION EN EL USO DE POLITICA DE CONTROL DE 400 ACCESO 2 CAPACITACION USO DE CLAVES 300 3 CAPACITACION EQUIPOS DESATENDIDOS 255 4 CAPACITACION ESCRITORIO Y PANTALLA LIMPIA 300 TOTAL 1255 9
  • 11. MANUAL DE NORMAS Y POLITICAS 8. ANEXOS 8.1 ANEXO SECURIA–SGSI PROGRAMA DE ADMINISTRACION INGRESO A PROGRAMA ADMINISTRACION SECURIA – SGSI PROGRAMA CLIENTE INGRESO A PROGRAMA CLIENTE 10
  • 12. MANUAL DE NORMAS Y POLITICAS ACCIONES PREVENTIVAS INFORME DETALLADO DE LA ACCION 11
  • 13. MANUAL DE NORMAS Y POLITICAS 8.2 ANEXO - RESPONSABILIDAD DE LOS USUARIOS FRENTE A LOS RECURSOS INFORMÁTICOS Cuando la Entidad le asigna un recurso informático para el cumplimiento de sus funciones, usted asume la responsabilidad sobre dicho recurso, es decir, que debe velar por controlarlo y mantenerlo en buen estado. Mantener los recursos informáticos en óptimas condiciones le ayudará a desempeñar sus funciones sin retrasos ni contratiempos. Para cumplir con este objetivo, además del cuidado normal que se debe tener con cualquier equipo electrónico, no debe modificar el software ni el hardware instalado. Seguridad en los puestos de trabajo. De la seguridad en los puestos de trabajo depende en gran parte el nivel de la Seguridad Informática de la UAEAC. Por esta razón se presentan unas prácticas básicas de fácil ejecución que ayudan a mantener los puestos de trabajo en los niveles adecuados de seguridad y que le permitirán conservar los recursos informáticos bajo su responsabilidad, en las condiciones en que le fueron entregados. A continuación se dan unas guías para mejorar la seguridad en sus puestos de trabajo. Cuándo se vaya a ausentar por corto tiempo bloquee su sesión, de lo contrario apague el computador. Uno puede pensar que no va a pasar nada si va al baño y deja la sesión abierta, pero la realidad es que en un minuto pueden ocurrir muchas cosas en su computador como por ejemplo copiar información importante, consultar su correo electrónico, borrar información, enviar un correo electrónico en su nombre, etc. Nunca deje documentos sobre su escritorio, guárdelos en gabinetes con llave. Documentos, disquetes y apuntes entre otros, pueden llegar a manos equivocadas, lo cual genera un gran riesgo para la UAEAC y más aún cuando la información contenida en ellos es sensible. No digite su contraseña si sospecha que está siendo observada. Las contraseñas son personales y tienen el caracter de confidencial. Si su contraseña fuera conocida por alguien, este podría revisar su correo, suplantarlo, tener acceso a la información que usted maneja e incluso atentar contra su buen nombre haciendo mal uso de los recursos informáticos que están bajo su responsabilidad. 12
  • 14. MANUAL DE NORMAS Y POLITICAS Si observa actividad sospechosa en algún puesto de trabajo denúnciela a Seguridad Informática. Un candado puede ser la solución para la pérdida de memoria Ciertos computadores permiten en la parte de atrás la instalación de un candado que impide que el equipo sea abierto y en consecuencia, que le sean hurtados elementos de hardware, por ejemplo memoria, procesador, discos duros, etc. 8.3 ANEXO - CONTRASEÑAS – COMO ELEGIRLAS, DÓNDE CAMBIARLAS La contraseña debe de ser fácil de recordar, de manera que no haya que escribirla o guardarla en un archivo en el equipo. Conviene elegir una contraseña que: - Tenga 8 o más caracteres. - Combine mayúsculas, minúsculas y números. - No figure, o tenga probabilidad de figurar, en un diccionario. - Sea difícil de adivinar: nunca use el nombre de la pareja, hijos, mascota, matrícula del coche, fecha de nacimiento, código postal, etc. etc. Conviene usar una frase en vez de una palabra como contraseña, porque es más difícil de adivinar. Cuando se manejan diferentes sistemas que requieren una contraseña para cada sistema, nunca hay que repetir la misma contraseña para diferentes sistemas. Tampoco usar contraseñas "recicladas", que tienen pequeños cambios para cada sistema (p ej. "pepito1" para el sistema 1, y "pepito2" para el sistema 2) Por supuesto, no se debe revelar la contraseña a nadie, tampoco escribirla ni tenerla registrada en ninguna parte más que en la propia cabeza. 8.3 ANEXO - LA SEGURIDAD INFORMATICA. LOS USUARIOS Y LAS EMPRESAS SIEMPRE EN ALERTA A menudo tendemos a referirnos a la seguridad informática haciendo hincapié en la importancia del usuario en la misma, en la importancia de sus hábitos, sus costumbres, sus usos e incluso los programas que adquiere para llevar a cabo la protección total de su sistema. No es poco frecuente apelar a la responsabilidad del usuario medio para evitar que un virus peligroso se propague o para alertar de los riesgos que un agujero de seguridad 13
  • 15. MANUAL DE NORMAS Y POLITICAS descubierto en un programa puede provocar, no solo para ese usuario en concreto sino para el resto de la comunidad online. Las empresas, autoridades y blogs de internet suelen poner siempre el dedo en la yaga alertando a cada uno de sus lectores o ciudadanos sobre la importancia de mantener una correcta y continua protección contra sus ordenadores. Sin embargo, y admitiendo que, lógicamente este punto es fundamental y vital en la organización y mantenimiento de una internet lo más saludable posible, no podemos obviar ni olvidar la importancia que la seguridad tiene también desde las propias empresas, es decir, desde los usuarios de más alto rango de la red de redes. De nada servir mantener a un usuario informado, preparado y alerta si a continuación las grandes cabezas pensantes comenten errores infantiles que ayudan, no solo a la propagación de virus y demás sino a la existencia de productos finales vulnerables que terminan llegando a nuestros ordenadores. Durante la reciente Bsecure Conference, ante más de 120 asistentes, Jesús Torrecillas, consultor de seguridad de Cemex hizo hincapié en algunos los errores que cometen las empresas a la hora de diseñar sus políticas de seguridad, destacando algunos como: 1. Utilizar gente sin experiencia para el ámbito de la seguridad. 2. Poco conocimiento sobre la seguridad integral. 3. Fiarse demasiado de cierto tipo de medios de seguridad, obviando otros. 4. Externalizar la seguridad de la empresa. 5. No dar soluciones a largo plazo sino parches a corto. Y un largo etcétera que nos sirve como ejemplo para llamar la atención sobre la importancia de que la seguridad empiece por las propias empresas y continúe, de manera clara y contundente, en los usuarios finales. 9. REFERENCIA BIBLIGRAFICA http://www.securia.es/forja/index.php?option=com_content&task=view&id=20&Itemid=1 http://www.securia.es/forja/index.php?option=com_docman&task=cat_view&gid=13&&Itemid=3 http://muyseguridad.net/2012/09/18/smart-pc-locker-y-bloquea-tu-windows-bien-bloqueado/ http://ebookbrowse.com/expired-password-reset-tutorial-pdf-d232045489 http://expired-password.winsite.com/ 14