SlideShare una empresa de Scribd logo
1 de 11
Universidad Tecnológica de Panamá

Guía para el Desarrollo de
un Plan de Seguridad
Políticas y Procedimientos de Seguridad para el
Software
Lic. En Desarrollo de Software

12
1
Guía para el Desarrollo de un Plan de Seguridad 2012

Universidad Tecnológica de Panamá
Centro Regional de Bocas del Toro
Facultad de Ingeniería de Sistemas Computacionales
Licenciatura en Desarrollo de Software
Asignatura
Seguridad en los Sistemas de Información
Guía para el Desarrollo de un Plan de Seguridad: Políticas y
Procedimientos de Seguridad para el Software.
Estudiantes:
Yessenia Martínez
Neftalí Saldaña
Profesora
Ensy Santamaría
Changuinola, 26 de junio de 2012.

2 Políticas y Procedimientos de Seguridad para el
Software
Guía para el Desarrollo de un Plan de Seguridad 2012

Índice
Contenido
Introducción ........................................................................................................................................ 4
¿Qué protege una política de seguridad? ................................................................................... 5
¿Por qué son tan importantes las políticas de seguridad? ......................................................... 5
Políticas De Seguridad En Software .................................................................................................... 5
Políticas de seguridad para utilitarios ......................................................................................... 6
Políticas de seguridad en carpetas compartidas ......................................................................... 6
Políticas de seguridad en cuentas ............................................................................................... 6
Políticas generales para cuentas de la red, sistema, correo electrónico, acceso remoto .......... 6
Políticas específicas para cuentas del sistema ............................................................................ 6
Políticas específicas para cuentas de correo electrónico............................................................ 6
Políticas de seguridad en contraseñas y control de acceso ........................................................ 7
Políticas generales para contraseñas de cuentas de la red, sistema, correo electrónico, acceso
remoto, FTP y web ...................................................................................................................... 7
Políticas específicas para contraseñas de navegación en el web acceso remoto, FTP ............... 8
Políticas específicas para contraseñas correo electrónico.......................................................... 8
Políticas de seguridad contra virus: ............................................................................................ 8
Políticas de seguridad en redes con conexión a internet ........................................................... 8
Políticas de seguridad para software .......................................................................................... 8
Políticas de seguridad para firewall ............................................................................................ 8
Conclusión ......................................................................................................................................... 10
Bibliografía ........................................................................................................................................ 11

3 Políticas y Procedimientos de Seguridad para el
Software
Guía para el Desarrollo de un Plan de Seguridad 2012

Introducción
En este trabajo encontraremos la política y procedimientos para el software de una
empresa. Las empresas usarán software legal y autorizado con las debidas licencias,
cuya adquisición será aprobada por el Departamento de Sistemas.

Los administradores de Red deberán actualizar en forma permanente los sistemas
operativos y software utilizado por la empresa, con el fin de que nuevas aplicaciones
corran sin problemas.

En caso que el usuario se ausente de su estación de trabajo el sistema debe
automáticamente poner en blanco la pantalla, suspender la sesión y solicitar una
contraseña para restablecer la sesión

Se deberá realizar chequeos periódicos al software instalado de cada estación de
trabajo o servidor con el fin de detectar software innecesario.

Sera una guía útil para la implementación de una política de seguridad para la
empresa en el futuro. Partiendo de la visión y misión de cada empresa.

4 Políticas y Procedimientos de Seguridad para el
Software
Guía para el Desarrollo de un Plan de Seguridad 2012
¿Qué protege una política de seguridad?

La certificación ISO 17799 define una política de seguridad como un documento que
ofrece instrucciones de administración y soporte para la seguridad de la información
de acuerdo con los requisitos empresariales y las leyes y reglamentaciones relevantes.
La política de seguridad de la aplicación no debe ser definida por el proceso de
desarrollo sino que solamente debe implementar los requisitos de seguridad
establecidos en una organización.
¿Por qué son tan importantes las políticas de seguridad?

Es fundamental reconocer la necesidad de políticas de
seguridad de aplicaciones porque sin tales políticas no existe
una forma confiable de definir, implementar y hacer cumplir
un plan de seguridad entro de una organización. ¿El plan se
seguridad física de su compañía incluye por ejemplo políticas
y procedimientos relacionados con accesos y salidas, o la
existencia de alarmas de incendios o el acceso a zonas
restringidas? Si se considera que la aplicación forma parte de
este mismo entorno físico, será más sencillo ver cómo este software, que por ejemplo
puede administrar su nómina de pagos e información contable, requiere el mismo
proceso de pensamiento para la seguridad que el acceso físico a los activos materiales
de su empresa.

Políticas De Seguridad En Software
Políticas de seguridad en sistemas operativos y software instalado
La empresa usará software legal y autorizado con las debidas licencias, cuya
adquisición será aprobada por el Departamento de Sistemas.
Los administradores de Red deberán actualizar en forma permanente los
sistemas operativos y/o software utilizado por la empresa, con el fin de que
nuevas aplicaciones corran sin problemas.
En caso que el usuario se ausente de su estación de trabajo el sistema debe
automáticamente poner en blanco la pantalla, suspender la sesión y solicitar
una contraseña para restablecer la sesión
Se deberá realizar chequeos periódicos al software instalado de cada estación
de trabajo o servidor con el fin de detectar software innecesario.

5 Políticas y Procedimientos de Seguridad para el
Software
Guía para el Desarrollo de un Plan de Seguridad 2012
Políticas de seguridad para utilitarios
Políticas de seguridad en carpetas compartidas

La carpeta compartida, dentro de una Red, deben tener una Clave de Acceso, la
misma que deberá ser cambiada periódicamente para evitar el ingreso de
cualquier persona.
Se debe dar permisos lectura, escritura, o total a la carpeta de acuerdo a las
necesidades de cada usuario con el fin de proteger la información.
Políticas de seguridad en cuentas
Políticas generales para cuentas de la red, sistema, correo electrónico, acceso remoto

Los privilegios de las cuentas concedidos a
los usuarios deben ser determinados de
acuerdo a las funciones que desempeña.
Una cuenta debe ser cancelada por salida
del empleado para evitar que el mismo
pueda acceder al sistema y alterar la
información.
El nombre de cuenta es único, es decir no
permita la creación de una misma cuenta
más de una vez.
Políticas específicas para cuentas del sistema

El periodo de tiempo de inactividad de la
cuenta del sistema es de 3 minutos y
restablecimiento de la sesión requiere que
el usuario proporcione su contraseña, para
que personal no autorizado ingrese a la
cuenta.
La frecuencia de mantenimiento de las
cuentas es de mínimo seis meses
Políticas específicas para cuentas de correo
electrónico

El usuario bajo ninguna circunstancia permitirá el uso de su cuenta de correo
electrónico por otros usuarios.
Deberá asignarse una capacidad de almacenamiento fija par cada una de las
cuentas de correo electrónico de los empleados.

6 Políticas y Procedimientos de Seguridad para el
Software
Guía para el Desarrollo de un Plan de Seguridad 2012
Políticas de seguridad en contraseñas y control de acceso
Políticas generales para contraseñas de cuentas de la red, sistema, correo electrónico,
acceso remoto, FTP y web

Las contraseñas deben estar formadas por:
o Un mínimo de 6 caracteres.
o Usar el alfabeto alternando mayúsculas con minúsculas y caracteres no
alfabéticos como: dígitos o signos de puntuación para dificultar su
identificación.
Usar contraseñas que sean fáciles de recordar, así no tendrá que escribirlas.
Las contraseñas no deben formarse con información relacionada con el usuario
que pueda adivinarse fácilmente como números de matrículas, de automóviles,
de teléfono, del seguro social, la marca de su automóvil, el nombre de la calle
donde vive, etc.
Las contraseñas no deben crearse con palabras que aparezcan en diccionarios
de español ni de ningún otro idioma extranjero, listas ortográficas ni ninguna
otra lista de palabras para que no sea fácil de adivinar.
La contraseña inicial emitida a un nuevo usuario sólo debe ser válida para la
primera sesión. En ese momento, el usuario debe escoger otra contraseña para
evitar el ingreso no autorizado a la cuenta.
Las contraseñas predefinidas que traen los equipos nuevos tales como
ruteadores, switches, entre otros, deben cambiarse inmediatamente al ponerse
en servicio el equipo ya que esta clave es conocida por el proveedor.
Se debe cambiar inmediatamente la contraseña en caso de creer que esta haya
sido comprometida
Se debe cambiar una contraseña cada mes para evitar que sea descubierta.
El usuario no debe guardar su contraseña en una forma legible en archivos en
disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser
encontrada.
Nunca debe compartirse la contraseña o revelarla a otros. El hacerlo expone al
usuario a las consecuencias por las acciones que los otros hagan con esa
contraseña.
Una misma contraseña no se debe usar para acceder a servicios diferentes.
Para evitar el acceso de intrusos se debe limitar a 3 el número consecutivo de
intentos infructuosos de introducir la contraseña, luego de lo cual la cuenta
involucrada queda bloqueada y se alerta al Administrador del sistema.

7 Políticas y Procedimientos de Seguridad para el
Software
Guía para el Desarrollo de un Plan de Seguridad 2012
Políticas específicas para contraseñas de navegación en el web acceso remoto, FTP

El cambio de clave o password sólo se hará de manera personal y directa con el
Administrador del Servicio.
Políticas específicas para contraseñas correo electrónico

El usuario debe cambiar el password inicial entregado por el administrador en
el primer registro que haga en su cuenta de correo.
Políticas de seguridad contra virus:

En todos los equipos de la empresa debe existir
una herramienta antivirus
ejecutándose
permanentemente y en continua actualización.
Deberá utilizarse más de una herramienta
antivirus en los servidores, para así disminuir el
riesgo de infección.
Deberá existir un procedimiento a seguir en
caso que se detecte un virus en algún equipo
como por ejemplo: notificar inmediatamente al
Jefe de Informática y poner la estación de trabajo
en cuarentena hasta que el problema sea resuelto
para evitar el contagio a toda la red.
Se debe ejecutar de forma regular las
comprobaciones de virus en estaciones de trabajo
y servidores para evitar el ingreso de virus a la
red.
Los diskettes u otros medios de almacenamiento no deben usarse en cualquier
computadora de la Compañía a menos que se haya previamente verificado que están
libres de virus.
El administrador debe bloquear los sitios Internet que se consideren sospechoso de
ser fuentes de virus.

Políticas de seguridad en redes con conexión a internet

Se cumplen todas las especificadas en las Políticas de Seguridad en Redes Locales y
además las siguientes:
Políticas de seguridad para software
Políticas de seguridad para firewall

La red que se conecta a la Internet debe tener un Firewall o dispositivo de
seguridad para controlar el acceso a la red y evitar el ingreso de intrusos.

8 Políticas y Procedimientos de Seguridad para el
Software
Guía para el Desarrollo de un Plan de Seguridad 2012
El firewall de la empresa debe presentar una postura de negación
preestablecida, configurado de manera que se prohíban todos los protocolos y
servicios, habilitando lo necesario.

9 Políticas y Procedimientos de Seguridad para el
Software
Conclusión
Es importante las políticas de seguridad en el software para las empresas porque
aseguran la aplicación correcta de las medidas de seguridad.
Con la ilusión de resolver los problemas de seguridad expeditamente, en
muchas organizaciones simplemente se compran uno o más productos de seguridad.
En estos casos, a menudo se piensa que nuevos productos (ya sea en hardware,
software, o servicios), es todo que se necesita. Luego que se instalan los productos, sin
embargo, se genera una gran desilusión al darse cuenta que los resultados esperados
no se han materializado.
En un número grande de casos, esta situación puede atribuirse al hecho que no se ha
creado una infraestructura organizativa adecuada para la seguridad informática. Un
ejemplo puede ayudar a aclarar este punto esencial. Supóngase que una organización
ha adquirido recientemente un producto de control de acceso para una
red de computadoras. La sola instalación del sistema hará poco para mejorar la
seguridad. Sea debe primero decidir cuáles usuarios deben tener acceso a
qué recursos de información, preferiblemente definiendo cómo incorporar estos
criterios en las políticas de seguridad.
También
deben
establecerse
los
procedimientos
para
que
el personal, técnicas implante el control de acceso de una manera cónsona con estas
decisiones. Además debe definir la manera de revisar las bitácoras (logs) y
otros registros generados por el sistema. Éstas y otras medidas constituyen parte de la
infraestructura organizativa necesaria para que los productos y servicios de seguridad
sean efectivos.
Una empresa necesita de documentación sobre políticas, definiciones de
responsabilidades, directrices, normas y procedimientos para que se apliquen las
medidas de seguridad, los mecanismos de evaluación de riesgos y el plan de
seguridad.
Las políticas y una estimación preliminar de los riesgos son el punto de partida para
establecer una infraestructura organizativa apropiada, es decir, son los aspectos
esenciales
desde
donde
se
derivan
los
demás.
Continuando con el mismo ejemplo anterior de control de acceso, se debería primero
llevar a cabo un análisis de riesgo de los sistemas de información.
Esta evaluación de los riesgos también ayudará a definir la naturaleza de las amenazas
a los distintos recursos, así como las contramedidas pertinentes. Luego pueden
establecerse las políticas a fin de tener una guía para la aplicación de tales medidas.

10
Guía para el Desarrollo de un Plan de Seguridad 2012

Bibliografía
Políticas de Seguridad - Monografias.com

Por ejemplo, la metodología a usar para probar el software. Un documento sobre
políticas de seguridad contiene, entre muchos aspectos: definición de ...
http://www.monografias.com/trabajos11/seguin/seguin.shtml
Políticas de auditoría de seguridades en redes locales
de JA Arias Tapia – 2007
Las políticas de auditoría de seguridad en redes locales se basan en los siguientes
puntos: . División de recursos de la red . Políticas de seguridad . Auditoría ..
bibdigital.epn.edu.ec/handle/15000/140

11 Políticas y Procedimientos de Seguridad para el
Software.

Más contenido relacionado

La actualidad más candente

Any Standard is Better Than None: GDPR and the ISO Standards
Any Standard is Better Than None: GDPR and the ISO StandardsAny Standard is Better Than None: GDPR and the ISO Standards
Any Standard is Better Than None: GDPR and the ISO StandardsPECB
 
Tabla Comparativa ITIL Y COBIT
Tabla Comparativa ITIL Y COBITTabla Comparativa ITIL Y COBIT
Tabla Comparativa ITIL Y COBITGeorge Aguilar
 
Business Relationship Management: it takes two to tango
Business Relationship Management: it takes two to tangoBusiness Relationship Management: it takes two to tango
Business Relationship Management: it takes two to tangoSvetlana Sidenko
 
NQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowPECB
 
RPA (Robotic Process Automation)
RPA (Robotic Process Automation)RPA (Robotic Process Automation)
RPA (Robotic Process Automation)Carlos Toxtli
 
Governance and Management of Enterprise IT with COBIT 5 Framework
Governance and Management of Enterprise IT with COBIT 5 FrameworkGovernance and Management of Enterprise IT with COBIT 5 Framework
Governance and Management of Enterprise IT with COBIT 5 FrameworkGoutama Bachtiar
 
Cyber Security in The Cloud
Cyber Security in The CloudCyber Security in The Cloud
Cyber Security in The CloudPECB
 
Implementing ISO27001 2013
Implementing ISO27001 2013Implementing ISO27001 2013
Implementing ISO27001 2013scttmcvy
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001.. ..
 
IT Governance – The missing compass in a technology changing world
 IT Governance – The missing compass in a technology changing world IT Governance – The missing compass in a technology changing world
IT Governance – The missing compass in a technology changing worldPECB
 
IT Governance - COBIT 5 Capability Assessment
IT Governance - COBIT 5 Capability AssessmentIT Governance - COBIT 5 Capability Assessment
IT Governance - COBIT 5 Capability AssessmentEryk Budi Pratama
 
NIST Cybersecurity Framework - Mindmap
NIST Cybersecurity Framework - MindmapNIST Cybersecurity Framework - Mindmap
NIST Cybersecurity Framework - MindmapWAJAHAT IQBAL
 
EDR vs SIEM - The fight is on
EDR vs SIEM - The fight is onEDR vs SIEM - The fight is on
EDR vs SIEM - The fight is onJustin Henderson
 
ISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxforam74
 

La actualidad más candente (19)

Any Standard is Better Than None: GDPR and the ISO Standards
Any Standard is Better Than None: GDPR and the ISO StandardsAny Standard is Better Than None: GDPR and the ISO Standards
Any Standard is Better Than None: GDPR and the ISO Standards
 
Tabla Comparativa ITIL Y COBIT
Tabla Comparativa ITIL Y COBITTabla Comparativa ITIL Y COBIT
Tabla Comparativa ITIL Y COBIT
 
Business Relationship Management: it takes two to tango
Business Relationship Management: it takes two to tangoBusiness Relationship Management: it takes two to tango
Business Relationship Management: it takes two to tango
 
NQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation Guide
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to know
 
RPA (Robotic Process Automation)
RPA (Robotic Process Automation)RPA (Robotic Process Automation)
RPA (Robotic Process Automation)
 
Governance and Management of Enterprise IT with COBIT 5 Framework
Governance and Management of Enterprise IT with COBIT 5 FrameworkGovernance and Management of Enterprise IT with COBIT 5 Framework
Governance and Management of Enterprise IT with COBIT 5 Framework
 
Cyber Security in The Cloud
Cyber Security in The CloudCyber Security in The Cloud
Cyber Security in The Cloud
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 
SOC 2 and You
SOC 2 and YouSOC 2 and You
SOC 2 and You
 
Implementing ISO27001 2013
Implementing ISO27001 2013Implementing ISO27001 2013
Implementing ISO27001 2013
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
IT Governance – The missing compass in a technology changing world
 IT Governance – The missing compass in a technology changing world IT Governance – The missing compass in a technology changing world
IT Governance – The missing compass in a technology changing world
 
ISO 27002-2022.pdf
ISO 27002-2022.pdfISO 27002-2022.pdf
ISO 27002-2022.pdf
 
IT Governance - COBIT 5 Capability Assessment
IT Governance - COBIT 5 Capability AssessmentIT Governance - COBIT 5 Capability Assessment
IT Governance - COBIT 5 Capability Assessment
 
NIST Cybersecurity Framework - Mindmap
NIST Cybersecurity Framework - MindmapNIST Cybersecurity Framework - Mindmap
NIST Cybersecurity Framework - Mindmap
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
EDR vs SIEM - The fight is on
EDR vs SIEM - The fight is onEDR vs SIEM - The fight is on
EDR vs SIEM - The fight is on
 
ISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptx
 

Destacado

Plan de seguridad preventivo power poitn
Plan  de seguridad preventivo power poitnPlan  de seguridad preventivo power poitn
Plan de seguridad preventivo power poitnmaap1965
 
Que se entiende por desarrollo sostenido integrado
Que se entiende por desarrollo sostenido integradoQue se entiende por desarrollo sostenido integrado
Que se entiende por desarrollo sostenido integradoAlvaro Carpio
 
Diseño de un plan de seguridad para prevenir accidentes en lavanderías
Diseño de un plan de seguridad para prevenir accidentes en lavanderías Diseño de un plan de seguridad para prevenir accidentes en lavanderías
Diseño de un plan de seguridad para prevenir accidentes en lavanderías Carlos Eduardo Dávila
 
Plan De Seguridad y Salud Ocupacional Hospital Belen de Trujillo
Plan De Seguridad y Salud Ocupacional Hospital Belen de TrujilloPlan De Seguridad y Salud Ocupacional Hospital Belen de Trujillo
Plan De Seguridad y Salud Ocupacional Hospital Belen de TrujilloRuth Vargas Gonzales
 
Manual de normas y procedimientos de seguridad
Manual de normas y procedimientos de seguridadManual de normas y procedimientos de seguridad
Manual de normas y procedimientos de seguridadCarlos Alberto Ramon Hdez
 
Ejemplo manual procedimientos
Ejemplo manual procedimientosEjemplo manual procedimientos
Ejemplo manual procedimientosumss
 

Destacado (7)

Plan de seguridad preventivo power poitn
Plan  de seguridad preventivo power poitnPlan  de seguridad preventivo power poitn
Plan de seguridad preventivo power poitn
 
Que se entiende por desarrollo sostenido integrado
Que se entiende por desarrollo sostenido integradoQue se entiende por desarrollo sostenido integrado
Que se entiende por desarrollo sostenido integrado
 
Diseño de un plan de seguridad para prevenir accidentes en lavanderías
Diseño de un plan de seguridad para prevenir accidentes en lavanderías Diseño de un plan de seguridad para prevenir accidentes en lavanderías
Diseño de un plan de seguridad para prevenir accidentes en lavanderías
 
Plan De Seguridad y Salud Ocupacional Hospital Belen de Trujillo
Plan De Seguridad y Salud Ocupacional Hospital Belen de TrujilloPlan De Seguridad y Salud Ocupacional Hospital Belen de Trujillo
Plan De Seguridad y Salud Ocupacional Hospital Belen de Trujillo
 
Manual de normas y procedimientos de seguridad
Manual de normas y procedimientos de seguridadManual de normas y procedimientos de seguridad
Manual de normas y procedimientos de seguridad
 
Plan de seguridad
Plan de seguridadPlan de seguridad
Plan de seguridad
 
Ejemplo manual procedimientos
Ejemplo manual procedimientosEjemplo manual procedimientos
Ejemplo manual procedimientos
 

Similar a Plan Seguridad Software UP

Similar a Plan Seguridad Software UP (20)

La seguridad lógica
La seguridad lógicaLa seguridad lógica
La seguridad lógica
 
La seguridad lógica
La seguridad lógicaLa seguridad lógica
La seguridad lógica
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 
Introducción
IntroducciónIntroducción
Introducción
 
Proyecto final redes y seguridad
Proyecto final redes y seguridad Proyecto final redes y seguridad
Proyecto final redes y seguridad
 
Contenido examen final
Contenido examen finalContenido examen final
Contenido examen final
 
redes y seguridad Proyecto final
redes y seguridad Proyecto finalredes y seguridad Proyecto final
redes y seguridad Proyecto final
 
Tarea de auditoria
Tarea de auditoriaTarea de auditoria
Tarea de auditoria
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
 
04 capitulo3-politicas de seguridad
04 capitulo3-politicas de seguridad04 capitulo3-politicas de seguridad
04 capitulo3-politicas de seguridad
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Generalidades de la auditoria en sistemas
Generalidades de la auditoria en sistemasGeneralidades de la auditoria en sistemas
Generalidades de la auditoria en sistemas
 
RIESGOS, SEGURIDAD Y RECUPERACIÓN ANTE DESASTRES.pptx
RIESGOS, SEGURIDAD Y RECUPERACIÓN ANTE DESASTRES.pptxRIESGOS, SEGURIDAD Y RECUPERACIÓN ANTE DESASTRES.pptx
RIESGOS, SEGURIDAD Y RECUPERACIÓN ANTE DESASTRES.pptx
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 

Más de Yessenia I. Martínez M.

Guia de lectura - Una herramienta para el estudio de estructura de datos y al...
Guia de lectura - Una herramienta para el estudio de estructura de datos y al...Guia de lectura - Una herramienta para el estudio de estructura de datos y al...
Guia de lectura - Una herramienta para el estudio de estructura de datos y al...Yessenia I. Martínez M.
 
Programación del curso - Estructura de Datos I
Programación del curso - Estructura de Datos IProgramación del curso - Estructura de Datos I
Programación del curso - Estructura de Datos IYessenia I. Martínez M.
 
Plan de Desarrollo de Software - Sistema Gestor de Oferta y Adjudicación de P...
Plan de Desarrollo de Software - Sistema Gestor de Oferta y Adjudicación de P...Plan de Desarrollo de Software - Sistema Gestor de Oferta y Adjudicación de P...
Plan de Desarrollo de Software - Sistema Gestor de Oferta y Adjudicación de P...Yessenia I. Martínez M.
 
Comparación Técnica de Protocolos de Capa Física: Cable 10BaseT VS. Fibra Óptica
Comparación Técnica de Protocolos de Capa Física: Cable 10BaseT VS. Fibra ÓpticaComparación Técnica de Protocolos de Capa Física: Cable 10BaseT VS. Fibra Óptica
Comparación Técnica de Protocolos de Capa Física: Cable 10BaseT VS. Fibra ÓpticaYessenia I. Martínez M.
 
Visualización de Redes: Herramientas y Técnicas para la Creación y Evaluación...
Visualización de Redes: Herramientas y Técnicas para la Creación y Evaluación...Visualización de Redes: Herramientas y Técnicas para la Creación y Evaluación...
Visualización de Redes: Herramientas y Técnicas para la Creación y Evaluación...Yessenia I. Martínez M.
 
Proyecto final (Administración) - Improvising Moments Bar Café
Proyecto final (Administración) - Improvising Moments Bar CaféProyecto final (Administración) - Improvising Moments Bar Café
Proyecto final (Administración) - Improvising Moments Bar CaféYessenia I. Martínez M.
 
Indicadores de abuso sexual en la infancia
Indicadores de abuso sexual en la infanciaIndicadores de abuso sexual en la infancia
Indicadores de abuso sexual en la infanciaYessenia I. Martínez M.
 
Normalización Usando Dependencias Funcionales - Segunda Forma Normal
Normalización Usando Dependencias Funcionales - Segunda Forma NormalNormalización Usando Dependencias Funcionales - Segunda Forma Normal
Normalización Usando Dependencias Funcionales - Segunda Forma NormalYessenia I. Martínez M.
 

Más de Yessenia I. Martínez M. (20)

Estructuras de datos fundamentales
Estructuras de datos  fundamentalesEstructuras de datos  fundamentales
Estructuras de datos fundamentales
 
Guia de lectura - Una herramienta para el estudio de estructura de datos y al...
Guia de lectura - Una herramienta para el estudio de estructura de datos y al...Guia de lectura - Una herramienta para el estudio de estructura de datos y al...
Guia de lectura - Una herramienta para el estudio de estructura de datos y al...
 
Guía de estudio -Módulo 1
Guía de estudio -Módulo 1Guía de estudio -Módulo 1
Guía de estudio -Módulo 1
 
Programación del curso - Estructura de Datos I
Programación del curso - Estructura de Datos IProgramación del curso - Estructura de Datos I
Programación del curso - Estructura de Datos I
 
Taller
TallerTaller
Taller
 
Psicosociología
PsicosociologíaPsicosociología
Psicosociología
 
Los Valores
Los ValoresLos Valores
Los Valores
 
Plan de Desarrollo de Software - Sistema Gestor de Oferta y Adjudicación de P...
Plan de Desarrollo de Software - Sistema Gestor de Oferta y Adjudicación de P...Plan de Desarrollo de Software - Sistema Gestor de Oferta y Adjudicación de P...
Plan de Desarrollo de Software - Sistema Gestor de Oferta y Adjudicación de P...
 
Teamlab - Información Básica
Teamlab - Información BásicaTeamlab - Información Básica
Teamlab - Información Básica
 
Comparación Técnica de Protocolos de Capa Física: Cable 10BaseT VS. Fibra Óptica
Comparación Técnica de Protocolos de Capa Física: Cable 10BaseT VS. Fibra ÓpticaComparación Técnica de Protocolos de Capa Física: Cable 10BaseT VS. Fibra Óptica
Comparación Técnica de Protocolos de Capa Física: Cable 10BaseT VS. Fibra Óptica
 
Visualización de Redes: Herramientas y Técnicas para la Creación y Evaluación...
Visualización de Redes: Herramientas y Técnicas para la Creación y Evaluación...Visualización de Redes: Herramientas y Técnicas para la Creación y Evaluación...
Visualización de Redes: Herramientas y Técnicas para la Creación y Evaluación...
 
Proyecto de calidad de software
Proyecto de calidad de softwareProyecto de calidad de software
Proyecto de calidad de software
 
Proyecto final (Administración) - Improvising Moments Bar Café
Proyecto final (Administración) - Improvising Moments Bar CaféProyecto final (Administración) - Improvising Moments Bar Café
Proyecto final (Administración) - Improvising Moments Bar Café
 
El Folklore Infantil
El Folklore InfantilEl Folklore Infantil
El Folklore Infantil
 
Indicadores de abuso sexual en la infancia
Indicadores de abuso sexual en la infanciaIndicadores de abuso sexual en la infancia
Indicadores de abuso sexual en la infancia
 
Linux Open SuSE
Linux Open SuSELinux Open SuSE
Linux Open SuSE
 
Herramientas Gráficas para MySQL
Herramientas Gráficas para MySQLHerramientas Gráficas para MySQL
Herramientas Gráficas para MySQL
 
Normalización Usando Dependencias Funcionales - Segunda Forma Normal
Normalización Usando Dependencias Funcionales - Segunda Forma NormalNormalización Usando Dependencias Funcionales - Segunda Forma Normal
Normalización Usando Dependencias Funcionales - Segunda Forma Normal
 
Sistema Operativo Solaris
Sistema Operativo SolarisSistema Operativo Solaris
Sistema Operativo Solaris
 
Modelos Lógicos Basados en Objetos
Modelos Lógicos Basados en ObjetosModelos Lógicos Basados en Objetos
Modelos Lógicos Basados en Objetos
 

Último

TECNOLOGIA 11-4.8888888888888888888888888
TECNOLOGIA 11-4.8888888888888888888888888TECNOLOGIA 11-4.8888888888888888888888888
TECNOLOGIA 11-4.8888888888888888888888888ElianaValencia28
 
PROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y masPROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y maslida630411
 
Tecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestríaTecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestríaElizabethLpezSoto
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024anasofiarodriguezcru
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nóminacuellosameidy
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfTENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfJoseAlejandroPerezBa
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdfBetianaJuarez1
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalEmanuelCastro64
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 

Último (20)

TECNOLOGIA 11-4.8888888888888888888888888
TECNOLOGIA 11-4.8888888888888888888888888TECNOLOGIA 11-4.8888888888888888888888888
TECNOLOGIA 11-4.8888888888888888888888888
 
PROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y masPROYECCIÓN DE VISTAS planos de vistas y mas
PROYECCIÓN DE VISTAS planos de vistas y mas
 
Tecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestríaTecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestría
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nómina
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfTENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamental
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 

Plan Seguridad Software UP

  • 1. Universidad Tecnológica de Panamá Guía para el Desarrollo de un Plan de Seguridad Políticas y Procedimientos de Seguridad para el Software Lic. En Desarrollo de Software 12 1
  • 2. Guía para el Desarrollo de un Plan de Seguridad 2012 Universidad Tecnológica de Panamá Centro Regional de Bocas del Toro Facultad de Ingeniería de Sistemas Computacionales Licenciatura en Desarrollo de Software Asignatura Seguridad en los Sistemas de Información Guía para el Desarrollo de un Plan de Seguridad: Políticas y Procedimientos de Seguridad para el Software. Estudiantes: Yessenia Martínez Neftalí Saldaña Profesora Ensy Santamaría Changuinola, 26 de junio de 2012. 2 Políticas y Procedimientos de Seguridad para el Software
  • 3. Guía para el Desarrollo de un Plan de Seguridad 2012 Índice Contenido Introducción ........................................................................................................................................ 4 ¿Qué protege una política de seguridad? ................................................................................... 5 ¿Por qué son tan importantes las políticas de seguridad? ......................................................... 5 Políticas De Seguridad En Software .................................................................................................... 5 Políticas de seguridad para utilitarios ......................................................................................... 6 Políticas de seguridad en carpetas compartidas ......................................................................... 6 Políticas de seguridad en cuentas ............................................................................................... 6 Políticas generales para cuentas de la red, sistema, correo electrónico, acceso remoto .......... 6 Políticas específicas para cuentas del sistema ............................................................................ 6 Políticas específicas para cuentas de correo electrónico............................................................ 6 Políticas de seguridad en contraseñas y control de acceso ........................................................ 7 Políticas generales para contraseñas de cuentas de la red, sistema, correo electrónico, acceso remoto, FTP y web ...................................................................................................................... 7 Políticas específicas para contraseñas de navegación en el web acceso remoto, FTP ............... 8 Políticas específicas para contraseñas correo electrónico.......................................................... 8 Políticas de seguridad contra virus: ............................................................................................ 8 Políticas de seguridad en redes con conexión a internet ........................................................... 8 Políticas de seguridad para software .......................................................................................... 8 Políticas de seguridad para firewall ............................................................................................ 8 Conclusión ......................................................................................................................................... 10 Bibliografía ........................................................................................................................................ 11 3 Políticas y Procedimientos de Seguridad para el Software
  • 4. Guía para el Desarrollo de un Plan de Seguridad 2012 Introducción En este trabajo encontraremos la política y procedimientos para el software de una empresa. Las empresas usarán software legal y autorizado con las debidas licencias, cuya adquisición será aprobada por el Departamento de Sistemas. Los administradores de Red deberán actualizar en forma permanente los sistemas operativos y software utilizado por la empresa, con el fin de que nuevas aplicaciones corran sin problemas. En caso que el usuario se ausente de su estación de trabajo el sistema debe automáticamente poner en blanco la pantalla, suspender la sesión y solicitar una contraseña para restablecer la sesión Se deberá realizar chequeos periódicos al software instalado de cada estación de trabajo o servidor con el fin de detectar software innecesario. Sera una guía útil para la implementación de una política de seguridad para la empresa en el futuro. Partiendo de la visión y misión de cada empresa. 4 Políticas y Procedimientos de Seguridad para el Software
  • 5. Guía para el Desarrollo de un Plan de Seguridad 2012 ¿Qué protege una política de seguridad? La certificación ISO 17799 define una política de seguridad como un documento que ofrece instrucciones de administración y soporte para la seguridad de la información de acuerdo con los requisitos empresariales y las leyes y reglamentaciones relevantes. La política de seguridad de la aplicación no debe ser definida por el proceso de desarrollo sino que solamente debe implementar los requisitos de seguridad establecidos en una organización. ¿Por qué son tan importantes las políticas de seguridad? Es fundamental reconocer la necesidad de políticas de seguridad de aplicaciones porque sin tales políticas no existe una forma confiable de definir, implementar y hacer cumplir un plan de seguridad entro de una organización. ¿El plan se seguridad física de su compañía incluye por ejemplo políticas y procedimientos relacionados con accesos y salidas, o la existencia de alarmas de incendios o el acceso a zonas restringidas? Si se considera que la aplicación forma parte de este mismo entorno físico, será más sencillo ver cómo este software, que por ejemplo puede administrar su nómina de pagos e información contable, requiere el mismo proceso de pensamiento para la seguridad que el acceso físico a los activos materiales de su empresa. Políticas De Seguridad En Software Políticas de seguridad en sistemas operativos y software instalado La empresa usará software legal y autorizado con las debidas licencias, cuya adquisición será aprobada por el Departamento de Sistemas. Los administradores de Red deberán actualizar en forma permanente los sistemas operativos y/o software utilizado por la empresa, con el fin de que nuevas aplicaciones corran sin problemas. En caso que el usuario se ausente de su estación de trabajo el sistema debe automáticamente poner en blanco la pantalla, suspender la sesión y solicitar una contraseña para restablecer la sesión Se deberá realizar chequeos periódicos al software instalado de cada estación de trabajo o servidor con el fin de detectar software innecesario. 5 Políticas y Procedimientos de Seguridad para el Software
  • 6. Guía para el Desarrollo de un Plan de Seguridad 2012 Políticas de seguridad para utilitarios Políticas de seguridad en carpetas compartidas La carpeta compartida, dentro de una Red, deben tener una Clave de Acceso, la misma que deberá ser cambiada periódicamente para evitar el ingreso de cualquier persona. Se debe dar permisos lectura, escritura, o total a la carpeta de acuerdo a las necesidades de cada usuario con el fin de proteger la información. Políticas de seguridad en cuentas Políticas generales para cuentas de la red, sistema, correo electrónico, acceso remoto Los privilegios de las cuentas concedidos a los usuarios deben ser determinados de acuerdo a las funciones que desempeña. Una cuenta debe ser cancelada por salida del empleado para evitar que el mismo pueda acceder al sistema y alterar la información. El nombre de cuenta es único, es decir no permita la creación de una misma cuenta más de una vez. Políticas específicas para cuentas del sistema El periodo de tiempo de inactividad de la cuenta del sistema es de 3 minutos y restablecimiento de la sesión requiere que el usuario proporcione su contraseña, para que personal no autorizado ingrese a la cuenta. La frecuencia de mantenimiento de las cuentas es de mínimo seis meses Políticas específicas para cuentas de correo electrónico El usuario bajo ninguna circunstancia permitirá el uso de su cuenta de correo electrónico por otros usuarios. Deberá asignarse una capacidad de almacenamiento fija par cada una de las cuentas de correo electrónico de los empleados. 6 Políticas y Procedimientos de Seguridad para el Software
  • 7. Guía para el Desarrollo de un Plan de Seguridad 2012 Políticas de seguridad en contraseñas y control de acceso Políticas generales para contraseñas de cuentas de la red, sistema, correo electrónico, acceso remoto, FTP y web Las contraseñas deben estar formadas por: o Un mínimo de 6 caracteres. o Usar el alfabeto alternando mayúsculas con minúsculas y caracteres no alfabéticos como: dígitos o signos de puntuación para dificultar su identificación. Usar contraseñas que sean fáciles de recordar, así no tendrá que escribirlas. Las contraseñas no deben formarse con información relacionada con el usuario que pueda adivinarse fácilmente como números de matrículas, de automóviles, de teléfono, del seguro social, la marca de su automóvil, el nombre de la calle donde vive, etc. Las contraseñas no deben crearse con palabras que aparezcan en diccionarios de español ni de ningún otro idioma extranjero, listas ortográficas ni ninguna otra lista de palabras para que no sea fácil de adivinar. La contraseña inicial emitida a un nuevo usuario sólo debe ser válida para la primera sesión. En ese momento, el usuario debe escoger otra contraseña para evitar el ingreso no autorizado a la cuenta. Las contraseñas predefinidas que traen los equipos nuevos tales como ruteadores, switches, entre otros, deben cambiarse inmediatamente al ponerse en servicio el equipo ya que esta clave es conocida por el proveedor. Se debe cambiar inmediatamente la contraseña en caso de creer que esta haya sido comprometida Se debe cambiar una contraseña cada mes para evitar que sea descubierta. El usuario no debe guardar su contraseña en una forma legible en archivos en disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser encontrada. Nunca debe compartirse la contraseña o revelarla a otros. El hacerlo expone al usuario a las consecuencias por las acciones que los otros hagan con esa contraseña. Una misma contraseña no se debe usar para acceder a servicios diferentes. Para evitar el acceso de intrusos se debe limitar a 3 el número consecutivo de intentos infructuosos de introducir la contraseña, luego de lo cual la cuenta involucrada queda bloqueada y se alerta al Administrador del sistema. 7 Políticas y Procedimientos de Seguridad para el Software
  • 8. Guía para el Desarrollo de un Plan de Seguridad 2012 Políticas específicas para contraseñas de navegación en el web acceso remoto, FTP El cambio de clave o password sólo se hará de manera personal y directa con el Administrador del Servicio. Políticas específicas para contraseñas correo electrónico El usuario debe cambiar el password inicial entregado por el administrador en el primer registro que haga en su cuenta de correo. Políticas de seguridad contra virus: En todos los equipos de la empresa debe existir una herramienta antivirus ejecutándose permanentemente y en continua actualización. Deberá utilizarse más de una herramienta antivirus en los servidores, para así disminuir el riesgo de infección. Deberá existir un procedimiento a seguir en caso que se detecte un virus en algún equipo como por ejemplo: notificar inmediatamente al Jefe de Informática y poner la estación de trabajo en cuarentena hasta que el problema sea resuelto para evitar el contagio a toda la red. Se debe ejecutar de forma regular las comprobaciones de virus en estaciones de trabajo y servidores para evitar el ingreso de virus a la red. Los diskettes u otros medios de almacenamiento no deben usarse en cualquier computadora de la Compañía a menos que se haya previamente verificado que están libres de virus. El administrador debe bloquear los sitios Internet que se consideren sospechoso de ser fuentes de virus. Políticas de seguridad en redes con conexión a internet Se cumplen todas las especificadas en las Políticas de Seguridad en Redes Locales y además las siguientes: Políticas de seguridad para software Políticas de seguridad para firewall La red que se conecta a la Internet debe tener un Firewall o dispositivo de seguridad para controlar el acceso a la red y evitar el ingreso de intrusos. 8 Políticas y Procedimientos de Seguridad para el Software
  • 9. Guía para el Desarrollo de un Plan de Seguridad 2012 El firewall de la empresa debe presentar una postura de negación preestablecida, configurado de manera que se prohíban todos los protocolos y servicios, habilitando lo necesario. 9 Políticas y Procedimientos de Seguridad para el Software
  • 10. Conclusión Es importante las políticas de seguridad en el software para las empresas porque aseguran la aplicación correcta de las medidas de seguridad. Con la ilusión de resolver los problemas de seguridad expeditamente, en muchas organizaciones simplemente se compran uno o más productos de seguridad. En estos casos, a menudo se piensa que nuevos productos (ya sea en hardware, software, o servicios), es todo que se necesita. Luego que se instalan los productos, sin embargo, se genera una gran desilusión al darse cuenta que los resultados esperados no se han materializado. En un número grande de casos, esta situación puede atribuirse al hecho que no se ha creado una infraestructura organizativa adecuada para la seguridad informática. Un ejemplo puede ayudar a aclarar este punto esencial. Supóngase que una organización ha adquirido recientemente un producto de control de acceso para una red de computadoras. La sola instalación del sistema hará poco para mejorar la seguridad. Sea debe primero decidir cuáles usuarios deben tener acceso a qué recursos de información, preferiblemente definiendo cómo incorporar estos criterios en las políticas de seguridad. También deben establecerse los procedimientos para que el personal, técnicas implante el control de acceso de una manera cónsona con estas decisiones. Además debe definir la manera de revisar las bitácoras (logs) y otros registros generados por el sistema. Éstas y otras medidas constituyen parte de la infraestructura organizativa necesaria para que los productos y servicios de seguridad sean efectivos. Una empresa necesita de documentación sobre políticas, definiciones de responsabilidades, directrices, normas y procedimientos para que se apliquen las medidas de seguridad, los mecanismos de evaluación de riesgos y el plan de seguridad. Las políticas y una estimación preliminar de los riesgos son el punto de partida para establecer una infraestructura organizativa apropiada, es decir, son los aspectos esenciales desde donde se derivan los demás. Continuando con el mismo ejemplo anterior de control de acceso, se debería primero llevar a cabo un análisis de riesgo de los sistemas de información. Esta evaluación de los riesgos también ayudará a definir la naturaleza de las amenazas a los distintos recursos, así como las contramedidas pertinentes. Luego pueden establecerse las políticas a fin de tener una guía para la aplicación de tales medidas. 10
  • 11. Guía para el Desarrollo de un Plan de Seguridad 2012 Bibliografía Políticas de Seguridad - Monografias.com Por ejemplo, la metodología a usar para probar el software. Un documento sobre políticas de seguridad contiene, entre muchos aspectos: definición de ... http://www.monografias.com/trabajos11/seguin/seguin.shtml Políticas de auditoría de seguridades en redes locales de JA Arias Tapia – 2007 Las políticas de auditoría de seguridad en redes locales se basan en los siguientes puntos: . División de recursos de la red . Políticas de seguridad . Auditoría .. bibdigital.epn.edu.ec/handle/15000/140 11 Políticas y Procedimientos de Seguridad para el Software.