TI VII [Reseumen Cap. 2]
![download TI VII [Reseumen Cap. 2]](https://fdocuments.mx/public/t1/desktop/images/details/download-thumbnail.png)
of 8
-
Upload
eduardo-zapata -
Category
Documents
-
view
215 -
download
0
Transcript of TI VII [Reseumen Cap. 2]
-
7/24/2019 TI VII [Reseumen Cap. 2]
1/8
Universidad Autnoma de Nuevo Len
Facultad de Contadura Pblica y Administracin
Seguridad Informtica Resumen Capitulo 2
Polticas, Planes y Procedimientos de Seguridad
Alumno: Leonardo Daniel Moreno MedinaMatricula: 1!"##$%ru&o: '#
'mo( )emestreMaestro: *u+o )e+undo %on,-le, %arca
-
7/24/2019 TI VII [Reseumen Cap. 2]
2/8
Monterrey. Nuevo Len. 14 de septiembre de201
Introduccin y conceptos bsicosLos problemas con las aplicaciones y programas informticos, los continuos cambiosen el entorno tecnolgico y normativo, la creciente complejidad de los sistemasinformticos, as como la cada vez mayor dependencia de las conexiones a Internet yde los accesos y servicios remotos son factores que han venido a complicar an ms, sicabe, el escenario en que tienen que definirse e implantarse las medidas deseguridad!
"or otra parte, resultara fundamental que la organizacin haga a los actores de lasdiferentes funciones afectados por las "olticas de #eguridad conocerlas, cules son
los planes, normas y procedimientos adoptados por la organizacin y establecer claray precisamente los comportamientos exigidos por la organizacin, como lasactuaciones recomendadas y las prohibidas!
$simismo, el acceso a documentacin detallada sobre todas las directrices y medidasde seguridad y los planes de sensibilizacin y formacin a los nuevos empleados quese incorporan a la organizacin son dos aspectos de vital importancia! Ladocumentacin debera estar expresada en conceptos comprensibles y dentro de lascapacidades de personal no t%cnico incluyendo un glosario de la terminologa t%cnicaempleada!
La implantacin de un adecuado sistema de gestin documental facilitar el registro,clasificacin y localizacin de toda la documentacin que se haya generado!
"or otra parte la organizacin debera tener identificado al personal clave paragarantizar el adecuado nivel de cumplimiento de las normas y procedimientos deseguridad! $simismo, se podran adoptar una serie de medidas para recordar laimportancia de la seguridad a los distintos empleados de la organizacin en el da ada!
&efinicin e implantacin de las polticas de seguridadLa organizacin tambi%n debe contemplar una serie de actuaciones para verificar el
adecuado nivel de cumplimiento e implantacin de las directrices y procedimientosde seguridad!
Inventario de los recursos y definicin de los servicios ofrecidos
La implantacin de los diferentes elementos de las "olticas de #eguridadrequiere de un inventario previo y del mantenimiento de un registroactualizado de los recursos del sistema informtico de la organizacin!
-
7/24/2019 TI VII [Reseumen Cap. 2]
3/8
#er necesario identificar los distintos puntos de acceso a la red y los tipos deconexiones utilizadas!
Inventario de los recursos y definicin de los servicios ofrecidos
'entros de tratamiento y locales donde se encuentren ubicados los ordenadoreso se almacenen soportes informticos con copias de los datos de la
organizacin! "uestos de trabajo, bien locales o remotos, desde los que se pueda tener
acceso a los ficheros con datos de carcter personal!
#eguridad frente al personal
$lta de (mpleados#e deber prestar atencin a las referencias de los empleados y la incorporacin declusulas de confidencialidad en los contratos!
)aja de (mpleadosLos responsables del sistema informtico deben proceder a la cancelacin o bloqueoinmediato de las cuentas del usuario y a la revocacin de los permisos y privilegiosque tena!
*unciones, +bligaciones y &erechos de los usuariosLa organizacin debe definir cules son los niveles de acceso a los servicios y recursosde su sistema informtico!
*ormacin y #ensibilizacin de los usuariosLa organizacin deber entrenar al personal que se incorpore e informar a susempleados cules son sus obligaciones en materia de seguridad!
#eguridad fsica de las instalacionesLos locales donde se ubiquen los ordenadores que contienen o puedan acceder a losficheros datos ms sensibles de la organizacin deben ser objeto de una proteccinespecial, de modo que se pueda garantizar la confidencialidad, integridad ladisponibilidad de los datos y aplicaciones ms crticas!#istemas de proteccin el%ctrica
Las directrices de seguridad relacionadas con la proteccin el%ctrica de los equiposinformticos deben definir aspectos como los que se muestran a continuacin
$decuada conexin de los equipos a la toma de tierra!
(liminacin de la electricidad esttica en las salas donde se ubiquen losequipos ms importantes, como los servidores!
*iltrado de ruidos e interferencias electromagn%ticas que pueden afectar elmal funcionamiento de los equipos!
-tilizacin de #istemas de $limentacin Ininterrumpida!
-
7/24/2019 TI VII [Reseumen Cap. 2]
4/8
.igilancia de la red y de los elementos de conectividad
-na de las mayores amenazas a la seguridad que enfrentan hoy las organizaciones detodo tama/o son los dispositivos invasores detrs del permetro de red!Independientemente de la manera en que una organizacin se pueda proteger contralas amenazas externas de Internet, la seguridad puede estar en riesgo por la presenciade un empleado bien intencionado que involuntariamente se vuelve un vector de
transmisin de cdigo malintencionado!
Los servidores, debido a su importancia para el correcto funcionamiento de muchasaplicaciones y servicios de la red de las organizaciones, tendran que estar sometidosa mayores medidas de seguridad, como algunas de las siguientes
-tilizacin de contrase/as a nivel )I+# para proteger el acceso a este elementoque registra la configuracin bsica del servidor!
-tilizacin de contrase/as de encendido
Inicias sesin con tarjetas inteligentes y0o t%cnicas biom%tricas!
#eparacin de los servicios crticos se debera procurar que los servicios msimportantes para organizacin dispongan de una o varias mquinas enexclusiva!
#eguridad en los dispositivos de almacenamiento
Los discos duros, conocidos como discos de almacenamiento no voltil en equiposinformticos, son los que estn compuestos por uno o ms platos magn%ticos rgidosque giran velozmente en una caja sellada!
(xisten tres tipos de dispositivos de almacenamiento
$lmacenamiento directamente conectado $lmacenamiento directamente a la red
1edes de almacenamiento!
-
7/24/2019 TI VII [Reseumen Cap. 2]
5/8
23u% es 1$I&4
(n informtica, el acrnimo 1$I& 51edundant $rray of Inexpensive &is6s7, traducidocomo conjunto redundante de discos Independientes hace referencia a un sistema dealmacenamiento de datos en tiempo real que utiliza mltiples unidades dealmacenamiento de datos!
"roteccin de los equipos y estaciones de trabajo!8uchas organizaciones dependen en gran medida de los servidores de seguridad dered para proteger sus estaciones de trabajo y servidores de las amenazas de Internet!(ste enfoque se conoce como 9duro por fuera, blando por dentro:!1ecomendaciones
#ervidor de seguridad personal
$ctualizacin de #ervice "ac6s y revisiones
#oft;are antivirus con firmas actualizadas
#oft;are contra el spy;are con firmas actualizadas
'ontrol de equipos fuera de la empresa!
-
7/24/2019 TI VII [Reseumen Cap. 2]
6/8
La administracin de cuentas de usuarioygruposes una parte esencial de laadministracin de sistemas dentro de una organizacin! "ero para hacer estoefectivamente, un buen administrador de sistemas primero debe entender lo que sonlas cuentas de usuario y los grupos y cmo funcionan!
Identificacin y autenticacin de usuarios
&ebe existir una relacin actualizada de usuarios que tienen acceso autorizado a losrecursos del sistema!
8odelo de seguridad 9aaa: 5autenticacin, autorizacin y contabilidad registro78ecanismo para identificacin de usuarios se basa en nombre de usuario y contrase/a!
-
7/24/2019 TI VII [Reseumen Cap. 2]
7/8
'ontrol de acceso obligatorio
'ontrol de acceso discrecional
$utorizacin y control de acceso lgico
La poltica de control de acceso permite definir una serie de restricciones de accesono solo en funcin de la identidad del sujeto, sino tambi%n en funcin de horario y0o
ubicacin fsica del sujeto!
La gestin de seguridad se puede aplicar tanto a nivel sistema operativo como a nivelde aplicaciones y servicios de red!#olo los administradores del sistema informtico podrn conceder, alterar o anular elacceso autorizado sobre datos y recursos!
8onitorizacin de servidores y dispositivos de la red
#u objetivo es facilitar la deteccin de usos no autorizados, situaciones anmalas o
intentos de ataque contra estos recursos!
(s necesario activar y configurar de forma adecuada en estos equipos los registros deactividad 59logs:7 para facilitarnos informacin!
(l propio sistema operativo de los equipos y servidores puede ser configurado a fin deregistrar distintos eventos de seguridad!
&ebido al registro de actividades, la organizacin deber informar de este detalle asus empleados y colaboradores!
"roteccin de datos y de documentos sensibles
La organizacin tendr que mantener una base de datos actualizada con la relacin delos documentos ms sensibles!
La poltica de seguridad tambi%n deber especificar qu% medidas de proteccin setendran que adoptar en la manipulacin de los documentos ms sensibles!
-
7/24/2019 TI VII [Reseumen Cap. 2]
8/8
(s recomendable incluir clusulas de confidencialidad en los contratos de losempleados con acceso a los documentos y datos ms sensibles de la organizacin!
(n cada acceso a los datos y documentos sensibles se debern de guardar comomnimo la identificacin del usuario, fecha y hora, documento accedido, tipo de
acceso y si fue autorizado o denegado!
(s necesario implantar medidas de seguridad necesarias para impedir accesos noautorizados a los datos que se encuentren nicamente en soporte de papel!"or ltimo, los documentos de papel que ya no tengan que ser conservados por laempresa debern ser destruidos de forma segura!
