lunes, 29 de septiembre de 2014

Aplicacion de Seguridad Informatica


Definición del plan de seguridad informática

Descripción de los elementos de protección

Modelo: ITIL
¿Porque? ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.
Estándar: ISO/IEC 20000
¿Por qué? ISO/IEC 20000 está basada y remplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que está disponible en dos partes: una especificación auditable y un código de buenas prácticas.
La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infraestructura Library), o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos.
La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público.

Definición de las metas de seguridad a alcanzar en un periodo de tiempo establecido

Tenemos pensado terminar  el proyecto aproximadamente entre 10-15 años,
Para poder terminarlo y llegar a su punto de madures (fase final), para poder terminarlo utilizaríamos muchas cosas, por ejemplo las bitácoras, información sobre el tema, fases de prueba y error, resúmenes, practicas, y todo lo necesario para llevar a cabo el proyecto.

Definición de políticas

ELEMENTOS DE SEGURIDAD INFORMATICA


-De acceso físico a equipos

 

Para la política de los accesos físicos a los equipos se manejara por personal autorizado y estas personas serán las que estén capacitadas en la tecnología (informáticos) ya que serán los que se encarguen de mover cada maquina, etc. Que se tenga en la empresa y cualquier daño estará a cargo de ellos…

1. No podrán trabajar con ningún equipo si no se ingresa un pin de seguridad.
2. Solo tendrá acceso habiendo registrado su ingreso en la empresa.
3. No podrá manejar el equipo de trabajo de otras áreas hasta que no este autorizado por gerencia
4. Deberán dar un registro de los movimientos, procesos, logros, etc. Que hizo a lo largo del día
5. No podrá utilizar el equipo o la maquinaria para asuntos ajenos a la empresa en caso de violar esto se manejara una sanción al empleado.

-De acceso lógico a equipos
Los empleados que sepan de control de calidad estarán encargados (juntamente con informáticos mas capacitados a la oficina) de toda la información que maneja la empresa (aplicaciones, licencias, programas, ventas, ganancias, perdidas, salidas, entradas, etc.) Las condiciones de trabajos de ellos serán:
1. El ingreso a los usuarios donde se almacena esta información será por medio de claves especiales del equipo.
2. Al final de día tendrán que mandar la información que manejaron a un equipo centro.
3. Solo podrán utilizar los equipos y mover la información cuando en la empresa este marcada su entrada.
4. No podrán llevar discos, memorias, cables, etc. Que pueda transferir información ya que esta es confidencial de la empresa.
5. No podrán enviar datos a ningún otro programa, canal, etc. Si no esta autorizado por gerencia.
6. No deberán entrometerse en la información de otros equipos y devoran cuidar que no entren a la de ellos.
7. No podrán dañar el equipo con virus ni nada por el estilo
8. A cada regla dañada se le otorgara una sanción.

-Para la creación de cuentas de usuario
1. Solo informáticos con un puesto alto y autorizado por gerencia podrán dar creación a usuarios nuevos (ya que aquí se almacenara información y deben de estar enterados y autorizados por los grandes)
2. Todo usuario creado tendrá su propia contraseña.
3. Será hecho especialmente para un empleado en especial.

-Para el manejo de bitácoras
1. Este punto será manejado por todos tendrán que entregar y manejar una bitácora única y especial por cada empleado.
2. Empleado que no entregue bitácora al final de día tendrá que ir acumulando hasta cierre de semana, si este no entrega completas sus bitácoras al finalizar semana será sancionado estrictamente
3. La entrega de las bitácoras será con el que comanda el área de trabajo él se encargara de guardar y subir.

4. En caso de perdida tendrá que volver a ingresar la información en una nueva bitácora que pedirá en oficinas.

 
-De protección de red (firewall)
1. Los encargados en el control de la información y el manejo de equipos tendrán que estar perfectamente encargados y tendrán que tener bajo estricta vigilancia la protección de red.
2. El equipo y información que sea invadida, o dañada por algún intruso o virus tendrá que pasar un reportes para que el problema sea tratado rápidamente.
3. Se aplicara sanción al que lo haya hecho intencionalmente (ya que los equipos serán investigados y analizados profesionalmente)

-Para la administración de software de seguridad
1. En este punto solo los que comandan las áreas podrán recibir órdenes de los gerentes en la instalación y uso de programas o software que ayuden a la empresa a manejar la seguridad
2. Los software serán únicamente pedidos en gerencia y estos serán asignados a los equipos que el mayor diga.

-Para la gestión de actualizaciones de control de cambios
1. Este podrá ser movido por todos pero antes de esto se hará una petición a oficinas para cualquier cambio o actualización en los controles según su cargo
2. El empleado que mueva cualquier actualización sin antes haberlo consultado o pedido será sancionado.

-De almacenamiento
1. Por default todos los empleados colaboraran en este punto ya que todos darán información de lo realizado en el día
2. Solo los de control e informáticos especializados en oficinas guardaran la información recibida.
3. Los datos almacenados pasaran a oficinas mayores y los empleados que deseen ver el historial antiguo o cualquier dato guardado anteriormente tendrán que hacer una petición.

-Para archivos compartidos
1. Este punto será visto desde gerencia cualquier archivo que se desee compartir tendrá ordenes del como y que persona lo hará.
2. Si algún empleado comparte información o archivos pertenecientes a la empresa tendrán una sanción fuerte.
3. No podrán recibir órdenes que no sea de oficinas para este aspecto.

-De respaldo
1. Para esto todos los empleados deberán realizar un respaldo de sus archivos del día que también serán entregados a oficinas (no podrán quedarse con estos).
2. Los que almacenan la información deberán después con los datos hacer un respaldo que será enviado a oficinas grandes donde hay lo manejaran (no podrán quedarse con este respaldo)
3. En oficinas mayores deberán tener varios respaldos en diferentes equipos para cualquier situación
4. Solo los gerentes o principales podrán entrar a estos respaldos en caso de algo o mas que ellos autoricen a cualquier personal.




 
integrantes:
Willi Perez
Alexis Reyes
Jose Angel Flores
Ismael Torales
 
 
Publicado por en No hay comentarios:

lunes, 22 de septiembre de 2014

ANALIZA ESTANDARES INTENACIONALES DE SEGURIDAD INFORMATICA


ANALIZA ESTANDARES INTENACIONALES DE SEGURIDAD INFORMATICA

ESTANDAR DE SEGURIDAD BS 17799

BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información.

Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO

Objetivo
El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.

ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.

SERIE ISO 27000, 27001, 27002

La serie ISO 27000 de normas se han reservado específicamente por la ISO en materia de seguridad de la información. Esto, por supuesto, se alinea con una serie de otros temas, como la ISO 9000 (gestión de calidad) e ISO 14000 (gestión ambiental).
Al igual que con los temas anteriores, la serie 27000 se rellenará con una serie de normas y documentos individuales. Algunos de ellos ya son bien conocidos, y, de hecho, han sido publicadas. Otros están programados para su publicación, con numeración y publicación detalles finales aún por determinar.
La siguiente matriz refleja la posición actual conocida por las principales normas de funcionamiento de la serie:

ISO 27001
Esta es la especificación de un sistema de gestión de seguridad de la información (SGSI), que sustituyó a la antigua norma BS7799-2

ISO 27002
Este es el número de la norma 27000 serie de lo que originalmente era la norma ISO 17799 (que en sí era conocido antes como BS7799-1).


ISO 20000


ISO 20000

ISO 20000 y la Gestión de Servicios TI

La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en el mundo específicamente dirigida a la gestión de los servicios de TI. La ISO 20000 fue desarrollada en respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los negocios provenientes de un colapso técnico del sistema de TI de las organizaciones.

ISO20000 describe un conjunto integrado de procesos que permiten prestar en forma eficaz servicios de TI a las organizaciones y a sus clientes. La esperada publicación de la ISO 20000 el 15 de diciembre de 2005 representa un gran paso adelante hacia el reconocimiento internacional y el desarrollo de la certificación de ITSM.

Hoy en día la aparición de la norma ISO 20000 está causando un aumento considerable del interés en aquellas organizaciones interesadas en implementar ITSM. Estudios revelan como dicho anhelo crecerá internacionalmente tomando como base la reconocida certificación ISO 20000

 

 

Ventajas Norma ISO 20000

La norma ISO/IEC 20000 está formada por tres partes bajo el mismo título “Tecnología de la información. Gestión del servicio:

•ISO 20000-1: Especificaciones

Esta parte de la norma ISO 20000 establece los requisitos que necesitan las empresas para diseñar, implementar y mantener la gestión de servicios TI. Esta norma ISO 20000 plantea un mapa de procesos que permite ofrecer servicios de TI con una calidad aceptable para los clientes.

•ISO 20000-2: Código de buenas prácticas

Describe las mejoras prácticas adoptadas por la industria en relación con los procesos de gestión del servicio TI, que permite cubrir las necesidades de negocio del cliente, con los recursos acordados, así como asumir un riesgo entendido y aceptable.


Publicado por en No hay comentarios:

lunes, 15 de septiembre de 2014

Analiza modelos y buenas prácticas de seguridad informática


Analiza modelos y buenas prácticas de seguridad informática

ITIL

Information Technology Infrastructure Librar, búsqueda La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.

Cobit

COBIT (Objetivos de control para la información y tecnologías

COBIT (Objetivos de control para la información y tecnologías relacionadas) es una metodología publicada en 1996 por el Instituto de Control de TI y la ISACA (Asociación de Auditoría y Control de Sistemas de Información) que se usa para evaluar el departamento de informática de una compañía; en Francia está representada por la AFAI (Asociación Francesa de Auditoría y Consejo de TI).

Este enfoque se basa en un índice de referencia de procesos, indicadores de objetivos clave (KGl) e indicadores de rendimiento clave (KPI) que se usan para controlar los procesos para recoger datos que la compañía puede usar para alcanzar sus objetivos.

El enfoque COBIT propone 34 procesos organizados en 4 áreas funcionales más grandes que abarcan 318 objetivos:

  • Entrega y asistencia técnica
  • Control
  • Planeamiento y organización
  • Aprendizaje e implementación

 

ISM3

Sistema de gestión de la seguridad de la información

 

ENISA: Gestión de riesgo y actividades del SGSI.

Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001, aunque no es la única normativa que utiliza este término o concepto.

Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

 
 
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como los externos del entorno.
Publicado por en No hay comentarios:

lunes, 8 de septiembre de 2014

Control de acceso a un sistema informático


Control de acceso a un sistema informático

En el espacio de trabajo, todos los equipos conectados a un servidor pueden considerarse como un gran sistema multifacético. Usted es responsable de la seguridad de este sistema más grande. Debe proteger la red contra los desconocidos que intentan obtener acceso. También debe garantizar la integridad de los datos en los equipos de la red.

En el nivel de archivos, Oracle Solaris proporciona funciones de seguridad estándar que usted puede utilizar para proteger archivos, directorios y dispositivos. En los niveles de sistema y de red, los problemas de seguridad son generalmente los mismos. La primera línea de defensa de seguridad es controlar el acceso al sistema.

Puede controlar y supervisar el acceso al sistema con las siguientes medidas:

·         Mantenimiento de la seguridad física



·         Mantenimiento del control de inicio de sesión

·         Control de acceso a dispositivos

·         Control de acceso a recursos del equipo

·         Control de acceso a archivos

·         Control de acceso a la red

·         Comunicación de problemas de seguridad

·        

Tipos de controles de acceso

.- checado

.-huella

.-código de acceso

.- checado de papel

.- de voz

.-tarjeta deslizable

.-reconocimiento de vista

.-reconocimiento facial

PROTECCION CONTRA DESCARGAS ELECTRICAS Y FALLAS DE VOLTAJE

 

Una tormenta eléctrica suele ser sinónimo de cortes de luz y la protección contra picos y fallas de energía es importante para tus aparatos eléctricos.

El consejo más básico es que apenas uno vea rayos en el cielo desenchufe todos los aparatos electrónicos de la casa.

Entre ellos, la PC, es uno de los más frágiles ante Cortez abruptos de electricidad y golpes de tensión.

Conviene tener en cuenta algunos consejos que sirven para tener proteger tu computadora.

Para mantenerla existen tres tipos de dispositivos:

  • Las UPS
  • Los estabilizadores de tensión
  • Las zapa tollas con fusible

·         Regulador

·         Generador


Protección contra fallas naturales

La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore (activo) y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

El concepto de seguridad de la información no debe ser confundido con el de «seguridad informática», ya que este último solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.

Puesto simple, la seguridad en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una definición general de seguridad debe también poner atención a la necesidad de salvaguardar la ventaja organizacional, incluyendo información y equipos físicos, tales como los mismos computadores. Nadie a cargo de seguridad debe determinar quien y cuando se puede tomar acciones apropiadas sobre un ítem en específico. Cuando se trata de la seguridad de una compañía, lo que es apropiado varía de organización a organización. Independientemente, cualquier compañía con una red debe de tener una política de seguridad que se dirija a conveniencia y coordinación.


Administración de software de la organización

La administración de software abraca la planeación, calendarización, administración de riegos, manejo del personal, estimación de los costos de software y la administración de calidad. En este artículo se cubre la planeación y la calendarización de proyectos de software. Muchas son las causas para el fracaso de proyectos de software, se pueden mencionar: entrega tardía, no fiable, costo superior al estimado, características de ejecución pobres. Muchas veces la falla estaba en el enfoque de administración utilizado.

La necesidad de administrar es una distinción importante entre un desarrollo profesional de software y la programación no profesional. La administración de proyectos de software es necesaria debido a que la ingeniería de software profesional siempre está sujeta a restricciones de presupuesto y calendarización; a las que debe ajustarse la organización que desarrolla el software. El trabajo del administrador de proyectos de software es asegurar que éstos cumplan dichas restricciones y entregar software que contribuya a las metas del negocio. Una buena administración no garantiza el éxito del proyecto, sin embrago la mala siempre asegura el fracaso del mismo.

·         Respaldos

·         Copias de seguridad

·         Correos electrónicos

·         Memorias USB

·         Disco duro y disco duro externo
Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)