SlideShare una empresa de Scribd logo

cobaxinvanessa@gmail.com

Descargar como DOCX, PDF
V
VanessaCobaxin

plan de seguridad informatica

Internet
1 de 24
COLEGIO DE EDUCACIÓN PROFESIONAL TÉCNICA DEL ESTADO DE VERACRUZ PLANTEL DR. GUILLERMO FIGUEROA CÁRDENAS SAN ANDRÉS TUXTLA, VER. CARRERA: P.T.B. EN INFORMATICA GRUPO: 3052 SEMESTRE: 3° TURNO: VESPERTINO MÓDULO: APLICACIÓN DE LA SEGURIDAD INFORMATICA (ASINFO) DOCENTE: L.I. DELIA MARTÍNEZ LOMAS INTEGRANTES:  VANESSA COBAXIN IXTEPAN  JONATHAN DE JESUS MARTINEZ POLITO  BERTHA ALICIA BUSTAMANTE PAXTIAN  KARINA DEL CARMEN IXTEPAN TOTO  JORGE CATEMAXCA GALLARDO Fecha: Viernes 17 de Octubre del 2014
INTRODUCCIÓN A continuación se presenta la definición del plan de seguridad informática, también aremos referencias sobre las buenas practicas, algunos de los modelos como es el ITIL, COBIT, ISM3 entre otras y algunos de los estándares. También se dará la definición de acceso físico a equipos, de acceso lógico a equipos, para creación de cuentas de usuarios para el manejo de bitácoras, de protección de red (firewall) para la administración de seguridad, para gestión de actualizaciones de control de cambios, de almacenamiento o para archivos compartidos, de respaldo. Y se mencionara un ejemplo de como el plantel CONALEP “Dr. Guillermo Figueroa Cárdenas” pone en prácticas todos estos temas.
Definición del plan de seguridad informática La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema. Buenas prácticas Es necesario que los incorporen buenas prácticas para proteger el entorno de información, y prevenir aún más la posibilidad de formar parte del conjunto que engloba a las potenciales y eventuales víctimas de cualquiera de las amenazas, que constantemente buscan sacar provecho de las debilidades humanas. El plantel Conalep cuenta con un reglamento que se deben de cumplir en sus distintas áreas ya sea en la biblioteca, aulas creas, laboratorios de cómputos, etc. Modelos ITIL Fue desarrollada al reconocer que las organizaciones dependen cada vez más de la informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos
de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. El plantel Conalep tiene sus propios objetivos de la calidad, también tiene política de calidad, misión, visión y valores institucionales. COBIT Es un marco de referencia para la dirección de IT, así como también de herramientas de soporte que permite a la alta dirección reducir la brecha entre las necesidades de control, cuestiones técnicas y los riesgos del negocio. Cobit permite el desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones. COBIT enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su alineación y simplifica la implementación del marco de referencia de COBIT. IT «Information Technology» son las tecnologías de la información y la comunicación (TIC, TICs o bien NTIC para Nuevas Tecnologías de la Información y de la Comunicación) agrupan los elementos y las técnicas utilizadas en el tratamiento y la transmisión de las informaciones, principalmente de informática, internet y telecomunicaciones.
ISM3 ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados). En los laboratorios no todos los alumnos tienen acceso a la información de las computadoras por eso está una cuenta de usuario que se llama “alumno” que es donde la pueden usar. Estándares Serie ISO 27000 Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI.
Serie ISO 27001 Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. ISO 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. Serie ISO 27002 Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO.
Serie ISO 2000 La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia. La norma ISO 20000 considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software. BS 17799 ISO 17799 surge como la norma técnica de seguridad de la información reconocida a nivel mundial. ISO 17799 se define como "un completo conjunto de controles que incluye las prácticas exitosas de seguridad de la información". Amenazas informáticas Si no tomas medidas para mantener seguro tu ordenador, tu ordenador -- y tú mismo – podéis ser objeto de una actividad fraudulenta en Internet. Estas actividades se refieren a aquellos casos en los que los los piratas informáticos, entran en tu ordenador con fines malintencionados. Puede ocurrir cada vez que estés en un ordenador sin protección, recibas un e-mail engañoso afirmando que hay un “asunto urgente” en relación con tu cuenta Monster o simplemente navegando por la Red. Puede que estén buscando información personal almacenada en tu ordenador, números de tarjetas de crédito o información de conexión de cuentas privadas, que usan para obtener beneficios económicos o acceder a tus servicios online ilegalmente. También es posible que quieran los recursos de tu ordenador, incluyendo su conexión a Internet, para aumentar su ancho de banda e infectar otros ordenadores. Esto también les permite esconder su verdadera ubicación mientras lanzan ataques. Cuanto más grande sea el número de ordenadores detrás de los cuales se esconde un infractor, más duro se le hace a la ley averiguar dónde está. Si no se puede encontrar al infractor, tampoco se le puede parar ni procesar.
Hay muchas amenazas diferentes para la seguridad de tu ordenador, así como muchas formas diferentes en las que un pirata informático puede robar tu información o infectar tu ordenador. Una vez dentro de un ordenador, la amenaza suele mostrar muy pocos síntomas por lo que puede sobrevivir sin ser detectada durante un periodo prolongado. Su seguridad online y prevención contra el fraude en internet pueden ser sencillos. En general, los infractores están intentando hacer dinero de la forma más rápida y fácil posible. Cuanto más difícil le pongas su trabajo, es más probable que desistan de su objetivo y se vayan en busca de un blanco más fácil. Definición de política  De acceso físico a equipos, de acceso lógico a equipos Los controles de acceso (lógicos y físicos) se diseñan para proteger contra la entrada o el acceso no autorizado. El establecimiento de las reglas debe basarse en la premisa “está prohibido todo lo que no esté permitido explícitamente”. Comenzaremos por los controles de acceso lógico al sistema. Estos proveen un medio técnico para controlar qué información pueden utilizar los usuarios, qué programas pueden ejecutar, y las modificaciones que pueden hacer. Los controles de acceso lógico se pueden definir como las políticas, procedimientos y controles de acceso electrónico diseñados para restringir el acceso a los archivos de datos. Dichos controles pueden estar incorporados en el sistema operativo, en los programas o aplicaciones, en las bases de datos, los dispositivos de control de red etc. Los derechos de acceso, también llamados permisos o privilegios, que son otorgados a los usuarios por el administrador, determinan las acciones que pueden ejecutar, por ejemplo, leer, grabar, eliminar etc. en los archivos de los servidores. No menos importantes son los controles de acceso físico al sistema. Estos restringen la entrada y salida del personal, y a menudo, los equipos y los medios, desde un área, como por ejemplo, un edificio, un centro de proceso de datos o una
sala que contenga un servidor de la red de área local (LAN). Hay muchos tipos de controles de acceso físico, que incluyen tarjetas inteligentes, llaves, barreras etc. En la entrada del plantel todos los días está un policía que se encarga de pedir información a las personas que entran al plantel, los alumnos podrán entrar si hacen el uso de su credencial y cumplen con el uniforme, y personas ajenas que no estudian en el plantel deberán registrarse en una bitácora y poner los datos que pide. También se deben registrar cuando quieren acceder a los laboratorios, aulas creas y biblioteca. Acceso físico a equipos Acceso Físico Robo de Equipo Protección Física Respaldos. Acceso Físico CONALEP Todos los sistemas de comunicaciones estarán debidamente protegidos con infraestructura apropiada de manera que el usuario no tenga acceso físico directo. Entendiendo por sistema de comunicaciones: el equipo activo y los medios de comunicación. Las visitas deben portar una identificación con un gafete que les será asignado por el centro de cómputo. Se deberán establecer horarios de acceso a instalaciones físicas, especificando los procedimientos y en qué casos se deberá hacer excepciones. Se debe definir qué personal está autorizado para mover, cambiar extraer equipo del CPD a través de identificaciones y formatos de E/S; y se debe informar de estas disposiciones a personal de seguridad. Robo de Equipo Se deberá definir procedimientos para inventario físico, firmas de resguardo para préstamos y usos dedicados de equipos de tecnología de información. El resguardo de los equipos de comunicaciones deberá quedar bajo el área o persona que los usa, permitiendo conocer siempre la ubicación física de los equipos. El centro de operaciones, así como las áreas que cuenten con equipos de misión crítica deberán contar con vigilancia y/o algún tipo de sistema que ayude a recabar evidencia de accesos físicos a las instalaciones.
Protección Física Las puertas de acceso a las salas de cómputo deben ser preferentemente de vidrio transparente. Acceso lógico Área de Seguridad en Cómputo Antivirus Área de seguridad de cómputo Podemos entender como seguridad una característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Para que un sistema se pueda definir como seguro debemos de tomar tres características: Integridad: Se refiere a la protección de información, datos, sistemas y otros archivos informáticos. Confidencialidad: Tiene relación con la protección de información frente a posibles accesos no autorizados. Disponibilidad: Es la garantía de que los autorizados puedan acceder a la información. Antivirus: Es un programa que ayuda a proteger su computadora contra la mayoría de los virus, worms, troyanos y otros invasores indeseados que puedan infectar su ordenador. Entre los principales daños que pueden causar estos programas están: la pérdida de rendimiento del microprocesador, borrado de archivos, alteración de datos, información confidencial expuesta a personas no autorizadas y la desinstalación del sistema operativo.
 Para creación de cuentas de usuarios Propósito Dar a conocer las políticas generales para el uso de las cuentas (usuario - contraseña) de acceso a los Sistemas Web Institucionales. Alcance El alcance de estas políticas incluye a todo usuario de sistema Web que tenga un rol, cuyas actividades sean de administración del sistema, de gestión o cualquier otro acceso que sí esté permitido. Política General 1. El uso de la cuenta de usuario es responsabilidad de la persona a la que está asignada. La cuenta es para uso personal e intransferible. 2. La cuenta de usuario se protegerá mediante una contraseña. La contraseña asociada a la cuenta de usuario, deberá seguir los Criterios para la Construcción de Contraseñas Seguras descrito más abajo. 3. Las cuentas de usuario (usuario y contraseña) son sensibles a mayúsculas y minúsculas, es decir que estas deben ser tecleadas como están. 4. No compartir la cuenta de usuario con otras personas: compañeros de trabajo, amigos, familiares, etc. 5. Si otra persona demanda hacer uso de la cuenta de usuario hacer referencia a estas políticas. De ser necesaria la divulgación de la cuenta de usuario y su contraseña asociada, deberá solicitarlo por escrito y dirigido al Administrador del Sistema. 6. Si se detecta o sospecha que las actividades de una cuenta de usuario puede comprometer la integridad y seguridad de la información, el acceso a dicha cuenta será suspendido temporalmente y será reactivada sólo después de haber tomado las medidas necesarias a consideración del Administrador del Sistema. 7. Tipos de Cuentas de Usuario Para efectos de las presentes políticas, se definen dos tipos de cuentas de usuario: 1. Cuenta de Usuario de Sistema de Información: todas aquellas cuentas que sean utilizadas por los usuarios para acceder a los diferentes sistemas de información. Estas cuentas permiten el acceso para consulta, modificación, actualización o eliminación de información, y se encuentran reguladas por los roles de usuario del Sistema.
2. Cuenta de Administración de Sistema de Información: corresponde a la cuenta de usuario que permite al administrador del Sistema realizar tareas específicas de usuario a nivel directivo, como por ejemplo: agregar/modificar/eliminar cuentas de usuario del sistema. 8. Todas las contraseñas para acceso al Sistema Web con carácter administrativo deberán ser cambiadas al menos cada 6 meses. 9. Todas las contraseñas para acceso al Sistema Web de nivel usuario deberán ser cambiadas al menos cada 12 meses. 10. Todas las contraseñas deberán ser tratadas con carácter confidencial. 11. Las contraseñas de ninguna manera podrán ser transmitidas mediante servicios de mensajería electrónica instantánea ni vía telefónica. 12. Si es necesario el uso de mensajes de correo electrónico para la divulgación de contraseñas, estas deberán transmitirse de forma cifrada. 13. Se evitará mencionar y en la medida de lo posible, teclear contraseñas en frente de otros. 14. Se evitará el revelar contraseñas en cuestionarios, reportes o formas. 15. Se evitará el utilizar la misma contraseña para acceso a los sistemas operativos y/o a las bases de datos u otras aplicaciones. 16. Se evitará el activar o hacer uso de la utilidad de ?Recordar Contraseña? o ?Recordar Password? de las aplicaciones. 17. No se almacenarán las contraseñas en libretas, agendas, post-it, hojas sueltas, etc. Si se requiere el respaldo de las contraseñas en medio impreso, el documento generado deberá ser único y bajo resguardo. 18. No se almacenarán las contraseñas sin encriptación, en sistemas electrónicos personales (asistentes electrónicos personales, memorias USB, teléfonos celulares, agendas electrónicas, etc.). 19. Si alguna contraseña es detectada y catalogada como no segura, deberá darse aviso al(los) usuario(s) para efectuar un cambio inmediato en dicha contraseña. Criterios en la construcción de contraseñas seguras Una contraseña segura deberá cumplir con las siguientes características:  La longitud debe ser al menos de 8 caracteres.  Contener caracteres tanto en mayúsculas como en minúsculas.  Puede tener dígitos y caracteres especiales como _, -, /, *, $, ¡=, +, etc.  No debe ser una palabra por sí sola, en ningún lenguaje, dialecto, jerga, etc.  No debe ser un palíndromo (ejemplo: agasaja)  No debe ser basada en información personal, nombres de familia, etc.  Procurar construir contraseñas que sean fáciles de recordar o deducir.  Algunos ejemplos de contraseñas NO seguras por si solas:  Nombres de familiares, mascotas, amigos, compañeros de trabajo, personajes, etc.
 Cualquier palabra de cualquier diccionario, términos, sitios, compañías, hardware, software, etc.  Cumpleaños, aniversarios, información personal, teléfonos, códigos postales, etc.  Patrones como 1234?, aaabbb, qwerty, zyxwvuts, etc.  Composiciones simples como: MINOMBRE1, 2minombre, etc. CONALEP En los laboratorios de cómputo, biblioteca y aulas creas del plantel Conalep “Dr. Guillermo Figueroa Cárdenas” al encender un equipo aparecen varias cuentas de usuario pero no a todas tenemos acceso ya que están protegidas por una contraseña que no sabemos, pero si tenemos acceso a una cuenta que se llama “alumno” y la contraseña es Conalep.  Para el manejo de bitácoras Ejemplo de bitácora de seguridad Bitácora de seguridad de laboratorio de computo Equipos de cómputo.  Apagarlos al desocuparlos.  No rayar las pantallas y las partes de la computadora.  No mojarlos.  No forzarlos cuando se traben.  Programas  Si un programa está bloqueado no desbloquear  No utilizar el programa para cosas que no sean su funcionamiento.  Respetar el reglamento del programa  Páginas web  No desbloquear las páginas.  Hacer caso a las advertencias.  mobiliario  No rayarlo  No pegar chicles  No maltrátalo  alumnos  No entrar con comida  Respetar el horario del laboratorio  Cuidar todo los componentes del laboratorio
 De protección de red (firewall) O cortafuegos Quizás uno de los elementos más publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que más se debe prestar atención, distan mucho de ser la solución final a los problemas de seguridad. De hecho, los Firewalls no tienen nada que hacer contra técnicas como la Ingeniería Social y el ataque de Insiders. Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet). Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:  Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él  Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido. CONALEP Esto se podría implementar en la escuela Dr. Guillermo de tal forma que puedan surgi r nuevos reglamentos debido a las consideraciones de los laboratorios a partir de sus usos y sus manejos ya que estas sencillas reglas no podrán bastar para controlar en su mayoría el cuidado de los laboratorios y en si con sus respectivas partes como ya sean los equipo de cómputo. La gran mayoría del alumnado no se da cuenta del daño que ase a sus mismos equipos por el tipo de usos que le dan sin saber que eso les afectara si en su gran mayoría son informáticos y por no respetar o no cumplir algunas reglas de cuidados. Registrarse sería una opción legible para poder identificar quien le está dado mal uso de los equipos de cómputo.
Como puede observarse, el Muro Cortafuegos, sólo sirven de defensa perimetral de las redes, no defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer protección una vez que el intruso lo traspasa. Algunos Firewalls aprovechan esta capacidad de que toda la información entrante y saliente debe pasar a través de ellos para proveer servicios de seguridad adicionales como la encriptación del tráfico de la red. Se entiende que si dos Firewalls están conectados, ambos deben "hablar" el mismo método de encriptación-des encriptación para entablar la comunicación. Tipos de Firewall 1. Filtrado de Paquetes 2. Proxy-Gateways de Aplicaciones 3. Dual-Homed Host 4. Screened Host 5. Screened Subnet 6. InspeccióndePaquetes Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas. 7. Firewalls Personales
Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infección de virus hasta la pérdida de toda su información almacenada. Políticas de Diseño de Firewalls Las políticas de accesos en un Firewalls se deben diseñar poniendo principal atención en sus limitaciones y capacidades pero también pensando en las amenazas y vulnerabilidades presentes en una red externa insegura. Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. También es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las medidas diferirán notablemente en función de esos usuarios. Generalmente se plantean algunas preguntas fundamentales que debe responder cualquier política de seguridad:  ¿Qué se debe proteger?. Se deberían proteger todos los elementos de la red interna (hardware, software, datos, etc.).  ¿De quién protegerse?. De cualquier intento de acceso no autorizado desde el exterior y contra ciertos ataques desde el interior que puedan preverse y prevenir.  Sin embargo, podemos definir niveles de confianza, permitiendo selectivamente el acceso de determinados usuarios externos a determinados servicios o denegando cualquier tipo de acceso a otros.  ¿Cómo protegerse?. Esta es la pregunta más difícil y está orientada a establecer el nivel de monitorización, control y respuesta deseado en la organización. Puede optarse por alguno de los siguientes paradigmas o estrategias: o Paradigmas de seguridad  Se permite cualquier servicio excepto aquellos expresamente prohibidos.  Se prohíbe cualquier servicio excepto aquellos expresamente permitidos. La más recomendada y utilizada aunque algunas veces suele acarrear problemas por usuarios descontentos que no pueden acceder a tal cual servicio. a. Estrategias de seguridad Paranoica: se controla todo, no se permite nada. Prudente: se controla y se conoce todo lo que sucede. Permisiva: se controla pero se permite demasiado. Promiscua: no se controla (o se hace poco) y se permite todo.
¿Cuánto costará?. Estimando en función de lo que se desea proteger se debe decidir cuánto es conveniente invertir. Restricciones en el Firewall La parte más importante de las tareas que realizan los Firewalls, la de permitir o denegar determinados servicios, se hacen en función de los distintos usuarios y su ubicación: Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie de redes y direcciones a los que denomina Trusted (validados) . Estos usuarios, cuando provengan del interior, van a poder acceder a determinados servicios externos que se han definido. Usuarios externos con permiso de entrada desde el exterior: este es el caso más sensible a la hora de vigilarse. Suele tratarse de usuarios externos que por algún motivo deben acceder para consultar servicios de la red interna. También es habitual utilizar estos accesos por parte de terceros para prestar servicios al perímetro interior de la red. Sería conveniente que estas cuentas sean activadas y desactivadas bajo demanda y únicamente el tiempo que sean necesarias. Beneficios de un Firewall Los Firewalls manejan el acceso entre dos redes, y si no existiera, todas las computadoras de la red estarían expuestas a ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría dependiendo de qué tan fácil fuera violar la seguridad local de cada máquina interna. El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador será el responsable de la revisión de estos monitorios. Otra causa que ha hecho que el uso de Firewalls se haya convertido en uso casi imperativo es el hecho que en los últimos años en Internet han entrado en crisis el número disponible de direcciones IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por medio de un "traductor de direcciones", el cual puede alojarse en el Firewall. Los Firewalls también son importantes desde el punto de vista de llevar las estadísticas del ancho de banda "consumido" por el tráfico de la red, y que
procesos han influido más en ese tráfico, de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible. Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados. Limitaciones de un Firewall La limitación más grande que tiene un Firewall sencillamente es el hueco que no se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls no son sistemas inteligentes, ellos actúan de acuerdo a parámetros introducidos por su diseñador, por ende si un paquete de información no se encuentra dentro de estos parámetros como una amenaza de peligro simplemente lo deja pasar. Más peligroso aún es que ese intruso deje Back Dorso, abriendo un hueco diferente y borre las pruebas o indicios del ataque original. Otra limitación es que el Firewall "NO es contra humanos", es decir que si un intruso logra entrar a la organización y descubrir passwords o los huecos del Firewall y difunde esta información, el Firewall no se dará cuenta. El Firewall tampoco provee de herramientas contra la filtración de software o archivos infectados con virus, aunque es posible dotar a la máquina, donde se aloja el Firewall, de antivirus apropiados. Finalmente, un Firewall es vulnerable, él NO protege de la gente que está dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna. Como moraleja: "cuanto mayor sea el tráfico de entrada y salida permitido por el Firewall, menor será la resistencia contra los paquetes externos. El único Firewall seguro (100%) es aquel que se mantiene apagado" (1) Esto podría ser muy eficiente como ya lo sabes hay mucha áreas en el plantel donde efectúan el manejo de la información mediante dispositivos móviles o internos por la misma y justa razón el firewall podrá ser una herramienta muy eficiente ara las zonas donde sea riesgosas para el robo de la información confidencial ya sea el departamento de informática, área de escolares incluso los mismo laboratorios de cómputo para no permitir robo de información se implementa. CONALEP En el plantel la ingeniera Karime es la que se lleva el control de todas las computadoras y ella puede ver a que sitios de internet acceden los alumnos y demás personales
 Para la administración de seguridad Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas. La política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar a las decisiones referidas a la determinación de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios. La definición de los permisos de acceso requiere determinar cuál será el nivel de seguridad necesario sobre los datos, por lo que es imprescindible clasificar la información, determinando el riesgo que produciría una eventual exposición de la misma a usuarios no autorizados. Así los diversos niveles de la información requerirán diferentes medidas y niveles de seguridad. Para empezar la implementación, es conveniente comenzar definiendo las medidas de seguridad sobre la información más sensible o las aplicaciones más críticas, y avanzar de acuerdo a un orden de prioridad descendiente, establecido alrededor de las aplicaciones. Una vez clasificados los datos, deberán establecerse las medidas de seguridad para cada uno de los niveles. Un programa específico para la administración de los usuarios informáticos desarrollado sobre la base de las consideraciones expuestas, puede constituir un compromiso vacío, si no existe una conciencia de la seguridad organizacional por parte de todos los empleados. Esta conciencia de la seguridad puede alcanzarse mediante el ejemplo del personal directivo en el cumplimiento de las políticas y el establecimiento de compromisos firmados por el personal, donde se especifique la responsabilidad de cada uno. Pero además de este compromiso debe existir una concientización por parte de la administración hacia el personal en donde se remarque la importancia de la información y las consecuencias posibles de su pérdida o apropiación de la misma por agentes extraños a la organización. CONALEP La razón de que existen cuentas de usuarios en las computadoras del plantel es para que no cualquier persona tenga acceso a toda la información confidencial que están guardadas en las máquinas y haga mal uso de esa información.
 Para la gestión de actualizaciones La actualización de las diferentes partes del programa se realiza desde el menú Herramientas / Información del sistema / Gestión de actualizaciones. (Es necesaria una conexión a internet) Se descargarán automáticamente las partes necesarias. Es recomendable salir de la aplicación y volver a entrar para que los cambios sean efectivos. En entornos multipuesto, será necesario que no haya estaciones de trabajo con la aplicación abierta ya que no se permitirá la actualización de la estructura de las bases de datos si hay otras conexiones. La gestión de actualizaciones es un tema de importancia crítica tanto para los administradores de sistemas como para los IT managers. Por ello, Microsoft ofrece diversas herramientas que pueden ayudarle a gestionar y simplificar la tarea de mantener sus sistemas actualizados. Empiece aquí a familiarizarse con las guías que le ayudarán a evaluar su entorno y a implementar la estrategia más adecuada para gestionar las actualizaciones de seguridad y de software. CONALEP Los alumnos que dan su servicio en el plantel se encargan de dar mantenimiento a las computadoras, también se encargan de instalar y actualizar programas que se le sean autorizados.
 De control de cambios La Gestión de Configuración y Control de Cambios es la disciplina que se encarga de Identificar los elementos del proyecto que deben estar bajo configuración Restringir los cambios a dichos elementos Auditar los cambios a estos elementos Definir y gestionar la configuración de estos elementos Los métodos, procesos y herramientas utilizados para proveer este ambiente de configuración son parte esencial del proceso de desarrollo de software. La Gestión de Configuración y Control de Cambios es esencial al momento de tener control sobre todos los elementos generados por los integrantes del equipo de proyecto. Este control ayuda a eliminar la posibilidad de confusiones que pueden resultar de alto costo para el proyecto y asegurar que no existan inconsistencias en el sistema desarrollado, generadas por: Actualizaciones simultáneas Cuando varios integrantes del equipo trabajan sobre un mismo elemento al mismo tiempo. Problemas en la notificación de cambios Cuando un problema fue resuelto para algún elemento que es compartido por varios desarrolladores y alguno de ellos no fue notificado de dicho cambio. Múltiples versiones CONALEP Los programas tienen que ser correctamente instalando, para que así no haya ningún problema con el equipo.
 Para archivos compartidos El más útil para nuestros archivos compartidos seria por ejemplo las siguientes: Una red doméstica: Consiste en crear o unirse a un grupo es un conjunto de equipo que se comparten imágenes, músicas, videos, documentos. Cuando configuren o se unan a un grupo tendrán que indicar a Windows que carpeta o archivos desean compartir o so quieren privatizar. Se puede proteger el grupo con una contraseña y así los integrantes del grupo pueden tener acceso al grupo. Puede compartirse el archivo entre usuarios locales o remotos: LOCALES: Los usuarios se inician sesión en el equipo directamente a través de sus propias cuentas. REMOTOS: Conectan a su equipo a través de la red y tener acceso a los archivos compartidos en el equipo. Cada personal del plantel es encargado de su informacion y cuando piden que entreguen la información la comparten por medio de una memoria USB. Y con más seguridad los guardan en sus cuentas ya sea de correo electrónico, la nube o a edmodo.  De respaldo CONALEP Se trata de respaldar archivos porque necesitamos formatear nuestro equipo, restaurarlo o porque simplemente vamos a cambiar de equipo lo más común que hacemos es pasarlos a un USB aguardarlos en otros equipos; cosa que es muy poco práctica ya que si volvemos a hacer los cambios en nuestro equipo necesitamos repetir todo otra vez. Por lo que es más fácil hacer un respaldo en CD´S, DVD´S o en una unidad de disco externa para tenerlos siempre y no tener que guardar y borrar archivos siempre; así
que Windows nos ofrece la función de crear un respaldo de archivos a partir de una copia de seguridad que podemos quemar en un CD o guardar en un disco extremo. CONALEP En el plantel Conalep estas maneras de respaldo de archivos y los archivos compartidos los ponen de la manera siguiente: RESPALDO DE ARCHIVOS: La informacion que llega los almacena en gabinetes puestos en folders con la informacion de cada alumno en el plantel. Los pagos de asesorías de complementarias: Los bauchers se les sacan copias y te van anexando en la máquina. La informacion en la dirección del plantel: La informacion se les hacen copias y los guarda el director del plantel.

Recomendados

Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informática
jason031988
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
Tavo Adame
 
La Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles LogicosLa Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles Logicos
Net-Learning - Soluciones para e-learning
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Jorge Skorey
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Rodrigo Salazar Jimenez
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
Liliana Pérez
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
Chenny3
 

Recomendados

Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informática
jason031988
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
Tavo Adame
 
La Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles LogicosLa Seguridad Y Los Controles Logicos
La Seguridad Y Los Controles Logicos
Net-Learning - Soluciones para e-learning
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Jorge Skorey
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Rodrigo Salazar Jimenez
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
Liliana Pérez
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
Chenny3
 
La Seguridad Logica
La Seguridad LogicaLa Seguridad Logica
La Seguridad Logica
brenda carolina
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
Jorge Hernan Martinez Ruiz
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
Jessicakatherine
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
Giovanita Caira
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
Maurice Frayssinet
 
POLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAPOLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICA
virgo13
 
Segurida logica
Segurida logicaSegurida logica
Segurida logica
Rennytox Hernandez
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/Logica
UPTM
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
libra-0123
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógica
tecnodelainfo
 
seguridad de la computacion
seguridad de la computacionseguridad de la computacion
seguridad de la computacion
gastlezcano
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
Jonathan López Torres
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
Guiro Lin
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
Universidad de Los Andes (ULA)
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)
Ana Pino
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
ebonhoure
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Die biogasanlage chemie
Die biogasanlage chemieDie biogasanlage chemie
Die biogasanlage chemie
diana mendes
 
Tccnicas de intervencion psicologica en la organizacion
Tccnicas de intervencion psicologica en la organizacionTccnicas de intervencion psicologica en la organizacion
Tccnicas de intervencion psicologica en la organizacion
Maestros en Linea MX
 

Más contenido relacionado

La actualidad más candente

Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 
POLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAPOLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICA
virgo13
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/Logica
UPTM
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
libra-0123
 
seguridad de la computacion
seguridad de la computacionseguridad de la computacion
seguridad de la computacion
gastlezcano
 

La actualidad más candente (20)

La Seguridad Logica
La Seguridad LogicaLa Seguridad Logica
La Seguridad Logica
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
 
POLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAPOLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICA
 
Segurida logica
Segurida logicaSegurida logica
Segurida logica
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/Logica
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógica
 
seguridad de la computacion
seguridad de la computacionseguridad de la computacion
seguridad de la computacion
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 

Destacado

Koncierge_MediaKit_S16 (1)
Koncierge_MediaKit_S16 (1)Koncierge_MediaKit_S16 (1)
Koncierge_MediaKit_S16 (1)
Bronwyn Holm
 

Destacado (11)

Die biogasanlage chemie
Die biogasanlage chemieDie biogasanlage chemie
Die biogasanlage chemie
 
Tccnicas de intervencion psicologica en la organizacion
Tccnicas de intervencion psicologica en la organizacionTccnicas de intervencion psicologica en la organizacion
Tccnicas de intervencion psicologica en la organizacion
 
Comenzar
ComenzarComenzar
Comenzar
 
Ebola
EbolaEbola
Ebola
 
Seminario de finanzas, actividades
Seminario de finanzas, actividadesSeminario de finanzas, actividades
Seminario de finanzas, actividades
 
Sistemas digitales ss13
Sistemas digitales ss13Sistemas digitales ss13
Sistemas digitales ss13
 
Animals
AnimalsAnimals
Animals
 
Koncierge_MediaKit_S16 (1)
Koncierge_MediaKit_S16 (1)Koncierge_MediaKit_S16 (1)
Koncierge_MediaKit_S16 (1)
 
3Com 3CRWDR200B-75
3Com 3CRWDR200B-753Com 3CRWDR200B-75
3Com 3CRWDR200B-75
 
my father's business
my father's businessmy father's business
my father's business
 
discountmall
discountmalldiscountmall
discountmall
 

Similar a cobaxinvanessa@gmail.com

Diapositiva plan de seguridad
Diapositiva plan de seguridadDiapositiva plan de seguridad
Diapositiva plan de seguridad
Gael Rojas
 
Diapositiva plan de seguridad
Diapositiva plan de seguridadDiapositiva plan de seguridad
Diapositiva plan de seguridad
Gael Rojas
 
Tarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistTarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asist
Lizeth Rubio
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
MBouvier2
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio
taxesuio
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio
taxesuio
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
MBouvier2
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1
RUBENP0RTILL0
 

Similar a cobaxinvanessa@gmail.com (20)

Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Modulo
ModuloModulo
Modulo
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 
Diapositiva plan de seguridad
Diapositiva plan de seguridadDiapositiva plan de seguridad
Diapositiva plan de seguridad
 
Diapositiva plan de seguridad
Diapositiva plan de seguridadDiapositiva plan de seguridad
Diapositiva plan de seguridad
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridad
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 
Tarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistTarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asist
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio
 
Jose muñoz
Jose muñozJose muñoz
Jose muñoz
 
La seguridad informática.pdf
La seguridad informática.pdfLa seguridad informática.pdf
La seguridad informática.pdf
 
Sesión 10 semana 13
Sesión 10 semana 13Sesión 10 semana 13
Sesión 10 semana 13
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Herramientas de la administración de la seguridad
Herramientas de la administración de la seguridadHerramientas de la administración de la seguridad
Herramientas de la administración de la seguridad
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1
 

Último

Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdfAntenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
perezreyesalberto10
 
Mapas Conceptuales finales Rubén finales.pptx
Mapas Conceptuales finales Rubén finales.pptxMapas Conceptuales finales Rubén finales.pptx
Mapas Conceptuales finales Rubén finales.pptx
jose880240
 

Último (7)

Emprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoEmprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC Mexico
 
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdfAntenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
 
Mapas Conceptuales finales Rubén finales.pptx
Mapas Conceptuales finales Rubén finales.pptxMapas Conceptuales finales Rubén finales.pptx
Mapas Conceptuales finales Rubén finales.pptx
 
P7_E1_DanielPoza.pdf Los avances en los sistemas de comunicascion y su difusi...
P7_E1_DanielPoza.pdf Los avances en los sistemas de comunicascion y su difusi...P7_E1_DanielPoza.pdf Los avances en los sistemas de comunicascion y su difusi...
P7_E1_DanielPoza.pdf Los avances en los sistemas de comunicascion y su difusi...
 
Presentacion Seguridad y Privacidad en la Web
Presentacion Seguridad y Privacidad en la WebPresentacion Seguridad y Privacidad en la Web
Presentacion Seguridad y Privacidad en la Web
 
diapositivas tiktok.KAY (1) (1) (1).pptx
diapositivas tiktok.KAY (1) (1) (1).pptxdiapositivas tiktok.KAY (1) (1) (1).pptx
diapositivas tiktok.KAY (1) (1) (1).pptx
 
Esquema Organizacional Cosapi (Constructora)
Esquema Organizacional Cosapi (Constructora)Esquema Organizacional Cosapi (Constructora)
Esquema Organizacional Cosapi (Constructora)
 

cobaxinvanessa@gmail.com

  • 1.
  • 2. COLEGIO DE EDUCACIÓN PROFESIONAL TÉCNICA DEL ESTADO DE VERACRUZ PLANTEL DR. GUILLERMO FIGUEROA CÁRDENAS SAN ANDRÉS TUXTLA, VER. CARRERA: P.T.B. EN INFORMATICA GRUPO: 3052 SEMESTRE: 3° TURNO: VESPERTINO MÓDULO: APLICACIÓN DE LA SEGURIDAD INFORMATICA (ASINFO) DOCENTE: L.I. DELIA MARTÍNEZ LOMAS INTEGRANTES:  VANESSA COBAXIN IXTEPAN  JONATHAN DE JESUS MARTINEZ POLITO  BERTHA ALICIA BUSTAMANTE PAXTIAN  KARINA DEL CARMEN IXTEPAN TOTO  JORGE CATEMAXCA GALLARDO Fecha: Viernes 17 de Octubre del 2014
  • 3. INTRODUCCIÓN A continuación se presenta la definición del plan de seguridad informática, también aremos referencias sobre las buenas practicas, algunos de los modelos como es el ITIL, COBIT, ISM3 entre otras y algunos de los estándares. También se dará la definición de acceso físico a equipos, de acceso lógico a equipos, para creación de cuentas de usuarios para el manejo de bitácoras, de protección de red (firewall) para la administración de seguridad, para gestión de actualizaciones de control de cambios, de almacenamiento o para archivos compartidos, de respaldo. Y se mencionara un ejemplo de como el plantel CONALEP “Dr. Guillermo Figueroa Cárdenas” pone en prácticas todos estos temas.
  • 4. Definición del plan de seguridad informática La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema. Buenas prácticas Es necesario que los incorporen buenas prácticas para proteger el entorno de información, y prevenir aún más la posibilidad de formar parte del conjunto que engloba a las potenciales y eventuales víctimas de cualquiera de las amenazas, que constantemente buscan sacar provecho de las debilidades humanas. El plantel Conalep cuenta con un reglamento que se deben de cumplir en sus distintas áreas ya sea en la biblioteca, aulas creas, laboratorios de cómputos, etc. Modelos ITIL Fue desarrollada al reconocer que las organizaciones dependen cada vez más de la informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos
  • 5. de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. El plantel Conalep tiene sus propios objetivos de la calidad, también tiene política de calidad, misión, visión y valores institucionales. COBIT Es un marco de referencia para la dirección de IT, así como también de herramientas de soporte que permite a la alta dirección reducir la brecha entre las necesidades de control, cuestiones técnicas y los riesgos del negocio. Cobit permite el desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones. COBIT enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su alineación y simplifica la implementación del marco de referencia de COBIT. IT «Information Technology» son las tecnologías de la información y la comunicación (TIC, TICs o bien NTIC para Nuevas Tecnologías de la Información y de la Comunicación) agrupan los elementos y las técnicas utilizadas en el tratamiento y la transmisión de las informaciones, principalmente de informática, internet y telecomunicaciones.
  • 6. ISM3 ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados). En los laboratorios no todos los alumnos tienen acceso a la información de las computadoras por eso está una cuenta de usuario que se llama “alumno” que es donde la pueden usar. Estándares Serie ISO 27000 Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI.
  • 7. Serie ISO 27001 Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. ISO 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. Serie ISO 27002 Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO.
  • 8. Serie ISO 2000 La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia. La norma ISO 20000 considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software. BS 17799 ISO 17799 surge como la norma técnica de seguridad de la información reconocida a nivel mundial. ISO 17799 se define como "un completo conjunto de controles que incluye las prácticas exitosas de seguridad de la información". Amenazas informáticas Si no tomas medidas para mantener seguro tu ordenador, tu ordenador -- y tú mismo – podéis ser objeto de una actividad fraudulenta en Internet. Estas actividades se refieren a aquellos casos en los que los los piratas informáticos, entran en tu ordenador con fines malintencionados. Puede ocurrir cada vez que estés en un ordenador sin protección, recibas un e-mail engañoso afirmando que hay un “asunto urgente” en relación con tu cuenta Monster o simplemente navegando por la Red. Puede que estén buscando información personal almacenada en tu ordenador, números de tarjetas de crédito o información de conexión de cuentas privadas, que usan para obtener beneficios económicos o acceder a tus servicios online ilegalmente. También es posible que quieran los recursos de tu ordenador, incluyendo su conexión a Internet, para aumentar su ancho de banda e infectar otros ordenadores. Esto también les permite esconder su verdadera ubicación mientras lanzan ataques. Cuanto más grande sea el número de ordenadores detrás de los cuales se esconde un infractor, más duro se le hace a la ley averiguar dónde está. Si no se puede encontrar al infractor, tampoco se le puede parar ni procesar.
  • 9. Hay muchas amenazas diferentes para la seguridad de tu ordenador, así como muchas formas diferentes en las que un pirata informático puede robar tu información o infectar tu ordenador. Una vez dentro de un ordenador, la amenaza suele mostrar muy pocos síntomas por lo que puede sobrevivir sin ser detectada durante un periodo prolongado. Su seguridad online y prevención contra el fraude en internet pueden ser sencillos. En general, los infractores están intentando hacer dinero de la forma más rápida y fácil posible. Cuanto más difícil le pongas su trabajo, es más probable que desistan de su objetivo y se vayan en busca de un blanco más fácil. Definición de política  De acceso físico a equipos, de acceso lógico a equipos Los controles de acceso (lógicos y físicos) se diseñan para proteger contra la entrada o el acceso no autorizado. El establecimiento de las reglas debe basarse en la premisa “está prohibido todo lo que no esté permitido explícitamente”. Comenzaremos por los controles de acceso lógico al sistema. Estos proveen un medio técnico para controlar qué información pueden utilizar los usuarios, qué programas pueden ejecutar, y las modificaciones que pueden hacer. Los controles de acceso lógico se pueden definir como las políticas, procedimientos y controles de acceso electrónico diseñados para restringir el acceso a los archivos de datos. Dichos controles pueden estar incorporados en el sistema operativo, en los programas o aplicaciones, en las bases de datos, los dispositivos de control de red etc. Los derechos de acceso, también llamados permisos o privilegios, que son otorgados a los usuarios por el administrador, determinan las acciones que pueden ejecutar, por ejemplo, leer, grabar, eliminar etc. en los archivos de los servidores. No menos importantes son los controles de acceso físico al sistema. Estos restringen la entrada y salida del personal, y a menudo, los equipos y los medios, desde un área, como por ejemplo, un edificio, un centro de proceso de datos o una
  • 10. sala que contenga un servidor de la red de área local (LAN). Hay muchos tipos de controles de acceso físico, que incluyen tarjetas inteligentes, llaves, barreras etc. En la entrada del plantel todos los días está un policía que se encarga de pedir información a las personas que entran al plantel, los alumnos podrán entrar si hacen el uso de su credencial y cumplen con el uniforme, y personas ajenas que no estudian en el plantel deberán registrarse en una bitácora y poner los datos que pide. También se deben registrar cuando quieren acceder a los laboratorios, aulas creas y biblioteca. Acceso físico a equipos Acceso Físico Robo de Equipo Protección Física Respaldos. Acceso Físico CONALEP Todos los sistemas de comunicaciones estarán debidamente protegidos con infraestructura apropiada de manera que el usuario no tenga acceso físico directo. Entendiendo por sistema de comunicaciones: el equipo activo y los medios de comunicación. Las visitas deben portar una identificación con un gafete que les será asignado por el centro de cómputo. Se deberán establecer horarios de acceso a instalaciones físicas, especificando los procedimientos y en qué casos se deberá hacer excepciones. Se debe definir qué personal está autorizado para mover, cambiar extraer equipo del CPD a través de identificaciones y formatos de E/S; y se debe informar de estas disposiciones a personal de seguridad. Robo de Equipo Se deberá definir procedimientos para inventario físico, firmas de resguardo para préstamos y usos dedicados de equipos de tecnología de información. El resguardo de los equipos de comunicaciones deberá quedar bajo el área o persona que los usa, permitiendo conocer siempre la ubicación física de los equipos. El centro de operaciones, así como las áreas que cuenten con equipos de misión crítica deberán contar con vigilancia y/o algún tipo de sistema que ayude a recabar evidencia de accesos físicos a las instalaciones.
  • 11. Protección Física Las puertas de acceso a las salas de cómputo deben ser preferentemente de vidrio transparente. Acceso lógico Área de Seguridad en Cómputo Antivirus Área de seguridad de cómputo Podemos entender como seguridad una característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Para que un sistema se pueda definir como seguro debemos de tomar tres características: Integridad: Se refiere a la protección de información, datos, sistemas y otros archivos informáticos. Confidencialidad: Tiene relación con la protección de información frente a posibles accesos no autorizados. Disponibilidad: Es la garantía de que los autorizados puedan acceder a la información. Antivirus: Es un programa que ayuda a proteger su computadora contra la mayoría de los virus, worms, troyanos y otros invasores indeseados que puedan infectar su ordenador. Entre los principales daños que pueden causar estos programas están: la pérdida de rendimiento del microprocesador, borrado de archivos, alteración de datos, información confidencial expuesta a personas no autorizadas y la desinstalación del sistema operativo.
  • 12.  Para creación de cuentas de usuarios Propósito Dar a conocer las políticas generales para el uso de las cuentas (usuario - contraseña) de acceso a los Sistemas Web Institucionales. Alcance El alcance de estas políticas incluye a todo usuario de sistema Web que tenga un rol, cuyas actividades sean de administración del sistema, de gestión o cualquier otro acceso que sí esté permitido. Política General 1. El uso de la cuenta de usuario es responsabilidad de la persona a la que está asignada. La cuenta es para uso personal e intransferible. 2. La cuenta de usuario se protegerá mediante una contraseña. La contraseña asociada a la cuenta de usuario, deberá seguir los Criterios para la Construcción de Contraseñas Seguras descrito más abajo. 3. Las cuentas de usuario (usuario y contraseña) son sensibles a mayúsculas y minúsculas, es decir que estas deben ser tecleadas como están. 4. No compartir la cuenta de usuario con otras personas: compañeros de trabajo, amigos, familiares, etc. 5. Si otra persona demanda hacer uso de la cuenta de usuario hacer referencia a estas políticas. De ser necesaria la divulgación de la cuenta de usuario y su contraseña asociada, deberá solicitarlo por escrito y dirigido al Administrador del Sistema. 6. Si se detecta o sospecha que las actividades de una cuenta de usuario puede comprometer la integridad y seguridad de la información, el acceso a dicha cuenta será suspendido temporalmente y será reactivada sólo después de haber tomado las medidas necesarias a consideración del Administrador del Sistema. 7. Tipos de Cuentas de Usuario Para efectos de las presentes políticas, se definen dos tipos de cuentas de usuario: 1. Cuenta de Usuario de Sistema de Información: todas aquellas cuentas que sean utilizadas por los usuarios para acceder a los diferentes sistemas de información. Estas cuentas permiten el acceso para consulta, modificación, actualización o eliminación de información, y se encuentran reguladas por los roles de usuario del Sistema.
  • 13. 2. Cuenta de Administración de Sistema de Información: corresponde a la cuenta de usuario que permite al administrador del Sistema realizar tareas específicas de usuario a nivel directivo, como por ejemplo: agregar/modificar/eliminar cuentas de usuario del sistema. 8. Todas las contraseñas para acceso al Sistema Web con carácter administrativo deberán ser cambiadas al menos cada 6 meses. 9. Todas las contraseñas para acceso al Sistema Web de nivel usuario deberán ser cambiadas al menos cada 12 meses. 10. Todas las contraseñas deberán ser tratadas con carácter confidencial. 11. Las contraseñas de ninguna manera podrán ser transmitidas mediante servicios de mensajería electrónica instantánea ni vía telefónica. 12. Si es necesario el uso de mensajes de correo electrónico para la divulgación de contraseñas, estas deberán transmitirse de forma cifrada. 13. Se evitará mencionar y en la medida de lo posible, teclear contraseñas en frente de otros. 14. Se evitará el revelar contraseñas en cuestionarios, reportes o formas. 15. Se evitará el utilizar la misma contraseña para acceso a los sistemas operativos y/o a las bases de datos u otras aplicaciones. 16. Se evitará el activar o hacer uso de la utilidad de ?Recordar Contraseña? o ?Recordar Password? de las aplicaciones. 17. No se almacenarán las contraseñas en libretas, agendas, post-it, hojas sueltas, etc. Si se requiere el respaldo de las contraseñas en medio impreso, el documento generado deberá ser único y bajo resguardo. 18. No se almacenarán las contraseñas sin encriptación, en sistemas electrónicos personales (asistentes electrónicos personales, memorias USB, teléfonos celulares, agendas electrónicas, etc.). 19. Si alguna contraseña es detectada y catalogada como no segura, deberá darse aviso al(los) usuario(s) para efectuar un cambio inmediato en dicha contraseña. Criterios en la construcción de contraseñas seguras Una contraseña segura deberá cumplir con las siguientes características:  La longitud debe ser al menos de 8 caracteres.  Contener caracteres tanto en mayúsculas como en minúsculas.  Puede tener dígitos y caracteres especiales como _, -, /, *, $, ¡=, +, etc.  No debe ser una palabra por sí sola, en ningún lenguaje, dialecto, jerga, etc.  No debe ser un palíndromo (ejemplo: agasaja)  No debe ser basada en información personal, nombres de familia, etc.  Procurar construir contraseñas que sean fáciles de recordar o deducir.  Algunos ejemplos de contraseñas NO seguras por si solas:  Nombres de familiares, mascotas, amigos, compañeros de trabajo, personajes, etc.
  • 14.  Cualquier palabra de cualquier diccionario, términos, sitios, compañías, hardware, software, etc.  Cumpleaños, aniversarios, información personal, teléfonos, códigos postales, etc.  Patrones como 1234?, aaabbb, qwerty, zyxwvuts, etc.  Composiciones simples como: MINOMBRE1, 2minombre, etc. CONALEP En los laboratorios de cómputo, biblioteca y aulas creas del plantel Conalep “Dr. Guillermo Figueroa Cárdenas” al encender un equipo aparecen varias cuentas de usuario pero no a todas tenemos acceso ya que están protegidas por una contraseña que no sabemos, pero si tenemos acceso a una cuenta que se llama “alumno” y la contraseña es Conalep.  Para el manejo de bitácoras Ejemplo de bitácora de seguridad Bitácora de seguridad de laboratorio de computo Equipos de cómputo.  Apagarlos al desocuparlos.  No rayar las pantallas y las partes de la computadora.  No mojarlos.  No forzarlos cuando se traben.  Programas  Si un programa está bloqueado no desbloquear  No utilizar el programa para cosas que no sean su funcionamiento.  Respetar el reglamento del programa  Páginas web  No desbloquear las páginas.  Hacer caso a las advertencias.  mobiliario  No rayarlo  No pegar chicles  No maltrátalo  alumnos  No entrar con comida  Respetar el horario del laboratorio  Cuidar todo los componentes del laboratorio
  • 15.  De protección de red (firewall) O cortafuegos Quizás uno de los elementos más publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que más se debe prestar atención, distan mucho de ser la solución final a los problemas de seguridad. De hecho, los Firewalls no tienen nada que hacer contra técnicas como la Ingeniería Social y el ataque de Insiders. Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet). Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:  Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él  Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido. CONALEP Esto se podría implementar en la escuela Dr. Guillermo de tal forma que puedan surgi r nuevos reglamentos debido a las consideraciones de los laboratorios a partir de sus usos y sus manejos ya que estas sencillas reglas no podrán bastar para controlar en su mayoría el cuidado de los laboratorios y en si con sus respectivas partes como ya sean los equipo de cómputo. La gran mayoría del alumnado no se da cuenta del daño que ase a sus mismos equipos por el tipo de usos que le dan sin saber que eso les afectara si en su gran mayoría son informáticos y por no respetar o no cumplir algunas reglas de cuidados. Registrarse sería una opción legible para poder identificar quien le está dado mal uso de los equipos de cómputo.
  • 16. Como puede observarse, el Muro Cortafuegos, sólo sirven de defensa perimetral de las redes, no defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer protección una vez que el intruso lo traspasa. Algunos Firewalls aprovechan esta capacidad de que toda la información entrante y saliente debe pasar a través de ellos para proveer servicios de seguridad adicionales como la encriptación del tráfico de la red. Se entiende que si dos Firewalls están conectados, ambos deben "hablar" el mismo método de encriptación-des encriptación para entablar la comunicación. Tipos de Firewall 1. Filtrado de Paquetes 2. Proxy-Gateways de Aplicaciones 3. Dual-Homed Host 4. Screened Host 5. Screened Subnet 6. InspeccióndePaquetes Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas. 7. Firewalls Personales
  • 17. Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infección de virus hasta la pérdida de toda su información almacenada. Políticas de Diseño de Firewalls Las políticas de accesos en un Firewalls se deben diseñar poniendo principal atención en sus limitaciones y capacidades pero también pensando en las amenazas y vulnerabilidades presentes en una red externa insegura. Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. También es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las medidas diferirán notablemente en función de esos usuarios. Generalmente se plantean algunas preguntas fundamentales que debe responder cualquier política de seguridad:  ¿Qué se debe proteger?. Se deberían proteger todos los elementos de la red interna (hardware, software, datos, etc.).  ¿De quién protegerse?. De cualquier intento de acceso no autorizado desde el exterior y contra ciertos ataques desde el interior que puedan preverse y prevenir.  Sin embargo, podemos definir niveles de confianza, permitiendo selectivamente el acceso de determinados usuarios externos a determinados servicios o denegando cualquier tipo de acceso a otros.  ¿Cómo protegerse?. Esta es la pregunta más difícil y está orientada a establecer el nivel de monitorización, control y respuesta deseado en la organización. Puede optarse por alguno de los siguientes paradigmas o estrategias: o Paradigmas de seguridad  Se permite cualquier servicio excepto aquellos expresamente prohibidos.  Se prohíbe cualquier servicio excepto aquellos expresamente permitidos. La más recomendada y utilizada aunque algunas veces suele acarrear problemas por usuarios descontentos que no pueden acceder a tal cual servicio. a. Estrategias de seguridad Paranoica: se controla todo, no se permite nada. Prudente: se controla y se conoce todo lo que sucede. Permisiva: se controla pero se permite demasiado. Promiscua: no se controla (o se hace poco) y se permite todo.
  • 18. ¿Cuánto costará?. Estimando en función de lo que se desea proteger se debe decidir cuánto es conveniente invertir. Restricciones en el Firewall La parte más importante de las tareas que realizan los Firewalls, la de permitir o denegar determinados servicios, se hacen en función de los distintos usuarios y su ubicación: Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie de redes y direcciones a los que denomina Trusted (validados) . Estos usuarios, cuando provengan del interior, van a poder acceder a determinados servicios externos que se han definido. Usuarios externos con permiso de entrada desde el exterior: este es el caso más sensible a la hora de vigilarse. Suele tratarse de usuarios externos que por algún motivo deben acceder para consultar servicios de la red interna. También es habitual utilizar estos accesos por parte de terceros para prestar servicios al perímetro interior de la red. Sería conveniente que estas cuentas sean activadas y desactivadas bajo demanda y únicamente el tiempo que sean necesarias. Beneficios de un Firewall Los Firewalls manejan el acceso entre dos redes, y si no existiera, todas las computadoras de la red estarían expuestas a ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría dependiendo de qué tan fácil fuera violar la seguridad local de cada máquina interna. El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador será el responsable de la revisión de estos monitorios. Otra causa que ha hecho que el uso de Firewalls se haya convertido en uso casi imperativo es el hecho que en los últimos años en Internet han entrado en crisis el número disponible de direcciones IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por medio de un "traductor de direcciones", el cual puede alojarse en el Firewall. Los Firewalls también son importantes desde el punto de vista de llevar las estadísticas del ancho de banda "consumido" por el tráfico de la red, y que
  • 19. procesos han influido más en ese tráfico, de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible. Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados. Limitaciones de un Firewall La limitación más grande que tiene un Firewall sencillamente es el hueco que no se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls no son sistemas inteligentes, ellos actúan de acuerdo a parámetros introducidos por su diseñador, por ende si un paquete de información no se encuentra dentro de estos parámetros como una amenaza de peligro simplemente lo deja pasar. Más peligroso aún es que ese intruso deje Back Dorso, abriendo un hueco diferente y borre las pruebas o indicios del ataque original. Otra limitación es que el Firewall "NO es contra humanos", es decir que si un intruso logra entrar a la organización y descubrir passwords o los huecos del Firewall y difunde esta información, el Firewall no se dará cuenta. El Firewall tampoco provee de herramientas contra la filtración de software o archivos infectados con virus, aunque es posible dotar a la máquina, donde se aloja el Firewall, de antivirus apropiados. Finalmente, un Firewall es vulnerable, él NO protege de la gente que está dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna. Como moraleja: "cuanto mayor sea el tráfico de entrada y salida permitido por el Firewall, menor será la resistencia contra los paquetes externos. El único Firewall seguro (100%) es aquel que se mantiene apagado" (1) Esto podría ser muy eficiente como ya lo sabes hay mucha áreas en el plantel donde efectúan el manejo de la información mediante dispositivos móviles o internos por la misma y justa razón el firewall podrá ser una herramienta muy eficiente ara las zonas donde sea riesgosas para el robo de la información confidencial ya sea el departamento de informática, área de escolares incluso los mismo laboratorios de cómputo para no permitir robo de información se implementa. CONALEP En el plantel la ingeniera Karime es la que se lleva el control de todas las computadoras y ella puede ver a que sitios de internet acceden los alumnos y demás personales
  • 20.  Para la administración de seguridad Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas. La política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar a las decisiones referidas a la determinación de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios. La definición de los permisos de acceso requiere determinar cuál será el nivel de seguridad necesario sobre los datos, por lo que es imprescindible clasificar la información, determinando el riesgo que produciría una eventual exposición de la misma a usuarios no autorizados. Así los diversos niveles de la información requerirán diferentes medidas y niveles de seguridad. Para empezar la implementación, es conveniente comenzar definiendo las medidas de seguridad sobre la información más sensible o las aplicaciones más críticas, y avanzar de acuerdo a un orden de prioridad descendiente, establecido alrededor de las aplicaciones. Una vez clasificados los datos, deberán establecerse las medidas de seguridad para cada uno de los niveles. Un programa específico para la administración de los usuarios informáticos desarrollado sobre la base de las consideraciones expuestas, puede constituir un compromiso vacío, si no existe una conciencia de la seguridad organizacional por parte de todos los empleados. Esta conciencia de la seguridad puede alcanzarse mediante el ejemplo del personal directivo en el cumplimiento de las políticas y el establecimiento de compromisos firmados por el personal, donde se especifique la responsabilidad de cada uno. Pero además de este compromiso debe existir una concientización por parte de la administración hacia el personal en donde se remarque la importancia de la información y las consecuencias posibles de su pérdida o apropiación de la misma por agentes extraños a la organización. CONALEP La razón de que existen cuentas de usuarios en las computadoras del plantel es para que no cualquier persona tenga acceso a toda la información confidencial que están guardadas en las máquinas y haga mal uso de esa información.
  • 21.  Para la gestión de actualizaciones La actualización de las diferentes partes del programa se realiza desde el menú Herramientas / Información del sistema / Gestión de actualizaciones. (Es necesaria una conexión a internet) Se descargarán automáticamente las partes necesarias. Es recomendable salir de la aplicación y volver a entrar para que los cambios sean efectivos. En entornos multipuesto, será necesario que no haya estaciones de trabajo con la aplicación abierta ya que no se permitirá la actualización de la estructura de las bases de datos si hay otras conexiones. La gestión de actualizaciones es un tema de importancia crítica tanto para los administradores de sistemas como para los IT managers. Por ello, Microsoft ofrece diversas herramientas que pueden ayudarle a gestionar y simplificar la tarea de mantener sus sistemas actualizados. Empiece aquí a familiarizarse con las guías que le ayudarán a evaluar su entorno y a implementar la estrategia más adecuada para gestionar las actualizaciones de seguridad y de software. CONALEP Los alumnos que dan su servicio en el plantel se encargan de dar mantenimiento a las computadoras, también se encargan de instalar y actualizar programas que se le sean autorizados.
  • 22.  De control de cambios La Gestión de Configuración y Control de Cambios es la disciplina que se encarga de Identificar los elementos del proyecto que deben estar bajo configuración Restringir los cambios a dichos elementos Auditar los cambios a estos elementos Definir y gestionar la configuración de estos elementos Los métodos, procesos y herramientas utilizados para proveer este ambiente de configuración son parte esencial del proceso de desarrollo de software. La Gestión de Configuración y Control de Cambios es esencial al momento de tener control sobre todos los elementos generados por los integrantes del equipo de proyecto. Este control ayuda a eliminar la posibilidad de confusiones que pueden resultar de alto costo para el proyecto y asegurar que no existan inconsistencias en el sistema desarrollado, generadas por: Actualizaciones simultáneas Cuando varios integrantes del equipo trabajan sobre un mismo elemento al mismo tiempo. Problemas en la notificación de cambios Cuando un problema fue resuelto para algún elemento que es compartido por varios desarrolladores y alguno de ellos no fue notificado de dicho cambio. Múltiples versiones CONALEP Los programas tienen que ser correctamente instalando, para que así no haya ningún problema con el equipo.
  • 23.  Para archivos compartidos El más útil para nuestros archivos compartidos seria por ejemplo las siguientes: Una red doméstica: Consiste en crear o unirse a un grupo es un conjunto de equipo que se comparten imágenes, músicas, videos, documentos. Cuando configuren o se unan a un grupo tendrán que indicar a Windows que carpeta o archivos desean compartir o so quieren privatizar. Se puede proteger el grupo con una contraseña y así los integrantes del grupo pueden tener acceso al grupo. Puede compartirse el archivo entre usuarios locales o remotos: LOCALES: Los usuarios se inician sesión en el equipo directamente a través de sus propias cuentas. REMOTOS: Conectan a su equipo a través de la red y tener acceso a los archivos compartidos en el equipo. Cada personal del plantel es encargado de su informacion y cuando piden que entreguen la información la comparten por medio de una memoria USB. Y con más seguridad los guardan en sus cuentas ya sea de correo electrónico, la nube o a edmodo.  De respaldo CONALEP Se trata de respaldar archivos porque necesitamos formatear nuestro equipo, restaurarlo o porque simplemente vamos a cambiar de equipo lo más común que hacemos es pasarlos a un USB aguardarlos en otros equipos; cosa que es muy poco práctica ya que si volvemos a hacer los cambios en nuestro equipo necesitamos repetir todo otra vez. Por lo que es más fácil hacer un respaldo en CD´S, DVD´S o en una unidad de disco externa para tenerlos siempre y no tener que guardar y borrar archivos siempre; así
  • 24. que Windows nos ofrece la función de crear un respaldo de archivos a partir de una copia de seguridad que podemos quemar en un CD o guardar en un disco extremo. CONALEP En el plantel Conalep estas maneras de respaldo de archivos y los archivos compartidos los ponen de la manera siguiente: RESPALDO DE ARCHIVOS: La informacion que llega los almacena en gabinetes puestos en folders con la informacion de cada alumno en el plantel. Los pagos de asesorías de complementarias: Los bauchers se les sacan copias y te van anexando en la máquina. La informacion en la dirección del plantel: La informacion se les hacen copias y los guarda el director del plantel.