grupo 1 responsabilidad de usuario

UNIVERSIDAD AUTÓNOMA GABRIEL RENÉ MORENOUNIDAD DE POSTGRADO FACULTAD INTEGRAL DEL

CHACODIPLOMADO EN SEGURIDAD INFORMÁTICA

INTEGRANTES: ORIEL ARANCIBIA FERNANDEZ MIGUEL ANGEL JUSTINIANO VERA

GUSTAVO MARTINEZ SALDIAS YASMANI MARTINEZ MAMANI GABRIELA INES JERÉZ ALVAREZ GRACIELA BAUTISTA G.

RESPONSABILIDADES DE USUARIO

MODULO IV: CONTROL DE ACCESO AL SISTEMA

CAMIRI-BOLIVIA

DOCENTE: ING. KAREM INFANTAS SOTO

MANUAL DE NORMAS Y POLITICAS

Tabla de contenido1. RESUMEN.......................................................................................................................................3

2. INTRODUCCION..............................................................................................................................3

3. POLÍTICAS DE CONTROL DE ACCESOS.............................................................................................5

3.1 Generalidades..........................................................................................................................5

3.2 Misión.......................................................................................................................................5

3.3 Visión........................................................................................................................................5

3.4 Objetivo....................................................................................................................................5

3.5 Alcance.....................................................................................................................................6

4. POLITICAS Y PROCEDIMIENTOS.....................................................................................................6

4.1 Requerimientos para el Control de Acceso..............................................................................6

4.2 RESPONSABILIDAD DE USUARIO..............................................................................................7

5. ORGANIGRAMA CASO DE ESTUDIO PYME COMERCIAL..................................................................8

6. CASO DE ESTUDIO (SITUACION IDEAL)..........................................................................................9

7. PRESUSPUESTO............................................................................................................................10

8. ANEXOS........................................................................................................................................11

8.1 ANEXO....................................................................................................................................11

SECURIA–SGSI PROGRAMA DE ADMINISTRACION.......................................................................11

8.2 ANEXO - RESPONSABILIDAD DE LOS USUARIOS FRENTE A LOS RECURSOS INFORMÁTICOS. .13

8.3 ANEXO - CONTRASEÑAS – COMO ELEGIRLAS, DÓNDE CAMBIARLAS.....................................14

8.3 ANEXO -......................................................................................................................................14

9. REFERENCIA BIBLIGRAFICA..........................................................................................................15

1


MANUAL DE NORMAS Y POLITICAS DE SEGURIDAD INFORMATICA

1. RESUMENPara impedir el acceso no autorizado a los sistemas de información se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento.

El objetivo es Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización. Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.

2. INTRODUCCIONLos requerimientos de seguridad que involucran las tecnologías de la información, en pocos años han cobrado un gran auge, y más aún con las de carácter globalizador como los son la de Internet y en particular la relacionada con el Web, la visión de nuevos horizontes explorando más allá de las fronteras naturales, situación que ha llevado la aparición de nuevas amenazas en los sistemas computarizados. Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales desarrollen políticas que norman el uso adecuado de estas destrezas tecnológicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las políticas de seguridad en informática que proponemos emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la información y servicios críticos, de la superación de las fallas y de las debilidades, de tal forma que permiten a la organización cumplir con su misión. El proponer esta política de seguridad requiere un alto compromiso con la institución, agudeza técnica para establecer fallas y deficiencias, constancia para renovar y actualizar dicha política en función del ambiente dinámico que nos rodea. La propuesta ha sido detenidamente planteada, analizada y revisada a fin de no contravenir con las garantías básicas del individuo, y no pretende ser una camisa de fuerza, y más bien muestra una buena forma de operar el sistema con seguridad, respetando en todo momento estatutos y reglamentos vigentes de la Institución. Algunas acciones que por la naturaleza extraordinaria tuvieron que ser llevadas a la práctica como son: los inventarios y su control, se mencionan, así como todos los aspectos que representan un riesgo o las acciones donde se ve involucrada y que compete a las tecnologías de la información; se

2


han contemplado también las políticas que reflejan la visión de la actual administración respecto a la problemática de seguridad informática organizacional.

Un Sistema Administrativo de Seguridad de la Información (Information Security Management System ISMS) es una forma sistemática de administrar la información Sensible de una compañía, para que permanezca segura. Abarca a las personas, los procesos y las Tecnologías de la Información. BSI ha publicado un reglamento de prácticas para estos sistemas, el ISO/IEC 17799, que está siendo internacionalmente adoptado. La seguridad de la información no termina al implementar el más reciente "firewall", o al sub-contratar a una compañía de seguridad las 24 horas. La forma total de la Seguridad de la Información, y la integración de diferentes iniciativas de seguridad, necesitan ser administradas para que cada elemento sea completamente efectivo. Aquí es donde entra el Sistema Administrativo de Seguridad de la Información - que le permite a la empresa, poder coordinar sus esfuerzos de seguridad con mayor efectividad.ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización, por lo que el aseguramiento de dicha información y de los sistemas que la procesan ha de ser un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. Seguidamente se resumen las distintas normas que componen la serie ISO 27000:

ISO/IEC 27000 proporcionará una visión general del marco normativo y un vocabulario común utilizado por todas las normas de la serie.ISO/IEC 27001:2005 Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI). Publicada en 2005.ISO/IEC 27002:2005 Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizaren la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada en 2007.

3


3. POLÍTICAS DE CONTROL DE ACCESOS

3.1 GeneralidadesEl acceso por medio de un sistema de restricciones y excepciones a la información es la base de todo sistema de seguridad informática. Para impedir el acceso no autorizado a los sistemas de información se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento.

La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es necesario concientizar a los mismos acerca de sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseñas y la seguridad del equipamiento.

3.2 MisiónEstablecer las directrices necesarias para el correcto funcionamiento de un sistema de gestión para la seguridad de la información, enmarcando su aplicabilidad en un proceso de desarrollo continuo y actualizable, apegado a los estándares internacionales desarrollados para tal fin.

3.3 VisiónConstituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema de gestión de seguridad de la información, a través de la utilización de técnicas y herramientas que contribuyan a optimizar la administración de los recursos informáticos de la organización.

3.4 ObjetivoImpedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización.Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.

4


3.5 Alcance

La Política definida en este documento se aplica a todas las formas de acceso de aquellos a quienes se les haya otorgado permisos sobre los sistemas de información, bases de datos o servicios de información de la empresa, cualquiera sea la función que desempeñe.

Asimismo se aplica al personal técnico que define, instala, administra y mantiene los permisos de acceso y las conexiones de red, y a los que administran su seguridad.

4. POLITICAS Y PROCEDIMIENTOS

4.1 Requerimientos para el Control de Acceso

Objetivo.- controlar el acceso a la información

Política de Control de Accesos

Control.- Se debiera establecer, documentar y revisar la política de acceso en base a los requerimientos comerciales y de seguridad para el acceso.

En la aplicación de controles de acceso, se contemplarán los siguientes aspectos:

a) Identificar los requerimientos de seguridad de cada una de las aplicaciones.

b) Identificar toda la información relacionada con las aplicaciones.

c) Establecer criterios coherentes entre esta Política de Control de Acceso y la Política de Clasificación de Información de los diferentes sistemas y redes.

d) Identificar la legislación aplicable y las obligaciones contractuales con respecto a la protección del acceso a datos y servicios.

e) Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría depuestos de trabajo.

SOLUCION:

Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación.

Registrar y revisas eventos y actividades criticas llevados por los usuarios en los sistemas.

Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas.

5


4.2 RESPONSABILIDAD DE USUARIO OBJETIVO.- Objetivo: Evitar el acceso de usuarios no-autorizados, evitar poner en peligro la información y evitar el robo de información y los medios de procesamiento de la información.

USO DE CLAVES SECRETAS

Control: Se debiera requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de claves secretas.

SOLUCIONES:Concientizar al usuario a manejar una contraseña que cumplan condiciones de clave segura.Programar tareas mensuales de cambio de contraseña.expired user password: Automatiza la obligación de cambiar la contraseña a usuarios registrados cada 30 días.Este software se aplica a usuarios que se requiera que cambien sus contraseñas cada sierto tiempo.

EQUIPO DE USUARIOS DESATENDIDOS

Control: Los usuarios deberían asegurar que los equipos tenga la protección adecuada.

SOLUCIONES:

Los usuarios deberán garantizar que los equipos sean protegidos adecuadamente.

El administrador de sistemas debe coordinar con el encargado de ventas las tareas de concientización a todos los usuarios, a cerca de los procedimientos de seguridad para su respectiva protección.

Proteger los ordenadores o terminales mediante un bloqueo de seguridad o control equivalente. Ejemplo contraseña de acceso cuando no se utiliza.

Proteger mediante bloqueo adecuado, por ejemplo, un protector de pantallas protegidas por contraseña.

POLITICA DE ESCRITORIO Y PANTALLA LIMPIO

Control: Se debiera adoptar una política de escritorio limpio para papeles y medios de almacenaje removibles y una política de pantalla limpia para los medios de procesamiento de la información.

SOLUCIONES:

6


El servidor de dominio deberá bloquear cualquier estación de trabajo con un protector de pantalla, que tenga un tiempo de inactividad mayor a un minuto.

La práctica de guardar las contraseñas en papel adherido al monitor o áreas cercanas al equipo de trabajo, es una falta grave y sancionable.

El gestor de seguridad debe desactivar cualquier característica de los sistemas o aplicaciones que les permita a los usuarios, almacenar localmente sus contraseñas.

El usuario deberá estar consciente de los problemas de seguridad que acarrea la irresponsabilidad en la salvaguarda y uso de su contraseña.

Usar destructoras de papel en caso que se quiera eliminar algún documento.

5. ORGANIGRAMA CASO DE ESTUDIO PYME COMERCIAL

7

Administrador

T. I.

Ventas

Sucursal 1

Sucursal 2

Contabilidad Importaciones


6. CASO DE ESTUDIO (SITUACION IDEAL)CICLO DE MEJORA CONTINUAPara establecer y gestionar este sistema de gestión de la seguridad de la información se utilizaremos el ciclo PDCA. Esta metodología ha demostrado su aplicabilidad y ha permitido establecer la mejora continua en organizaciones de todas clases.El modelo PDCA o “Planificar-Hacer-Verificar-Actuar”, tiene una serie de fases y acciones que permiten establecer un modelo de indicadores y métricas comparables en el tiempo, de manera que se pueda cuantificar el avance en la mejora de la organización. A continuación desarrollaremos cada una de ellas:

PlanificarEsta fase se corresponde con establecer el Software SECURIA-SGSI.Planifica y diseñar el programa.Sistematizar las políticas a aplicar en la organización. Definir cuáles son los fines a alcanzar y en que ayudaran a lograr los objetivos de negocio. Identificar los medios que se utilizaran para ello.Proyectar como se enfocara el análisis de riesgos y los criterios que se seguirán para gestionar las contingencias de modo coherente con las políticas y objetivos de seguridad.

HacerEn esta fase se implementara y se pondrá en funcionamiento de SECURIA-SGSI.Las políticas y los controles escogidos para cumplirlas se implementan mediante recursos técnicos.Se asignan responsables a cada tarea para comenzar a ejecutarlas según las instrucciones.Se implementara el software SMART PC LOCKER, una sencilla aplicación para Windows que hace las veces de muralla defensiva contra terceros, impidiéndoles acceder a tu ordenador tras configurar una contraseña segura.

Se aplicara el software EXPIRED USER PASSWORD que se aplica a usuarios que se requiera que cambien sus contraseñas cada cierto tiempo.

Verificar

En esta fase se realizara la monitorización y revisión del SECURIA-SGSI. Se controlara que los procesos se ejecutan como se ha establecido, de manera eficaz y eficiente, alcanzando los objetivos definidos para ellos.

8


Se verificar el grado de cumplimiento de las políticas y procedimientos, identificando los fallos que pudieran existir y, hasta donde sea posible, su origen, mediante revisiones y auditorias.

ActualizarEs la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar los fallos, detectados en las auditorías internas y revisiones del SECURIA-SGSI.Revisar otras informaciones relevantes para permitir la mejora permanente del SECURIA-SGSI.

7. PRESUSPUESTOSOFTWARE

N° DETALLE COSTO ( USD)

1 SECURIA-SGSI 02 EXPIRED USER PASSWORD 03 SMART PC LOCKER 0

TOTAL 0

PERSONALN° DETALLE COSTO

( USD)1 CAPACITACION EN EL USO DE POLITICA DE CONTROL DE

ACCESO400

2 CAPACITACION USO DE CLAVES 3003 CAPACITACION EQUIPOS DESATENDIDOS 2554 CAPACITACION ESCRITORIO Y PANTALLA LIMPIA 300

TOTAL 1255

9


8. ANEXOS

8.1 ANEXO

SECURIA–SGSI PROGRAMA DE ADMINISTRACIONINGRESO A PROGRAMA ADMINISTRACION

SECURIA – SGSI PROGRAMA CLIENTE

INGRESO A PROGRAMA CLIENTE

10


ACCIONES PREVENTIVAS

INFORME DETALLADO DE LA ACCION

11


8.2 ANEXO - RESPONSABILIDAD DE LOS USUARIOS FRENTE A LOS RECURSOS INFORMÁTICOS

Cuando la Entidad le asigna un recurso informático para el cumplimiento de sus funciones, usted asume la responsabilidad sobre dicho recurso, es decir, que debe velar por controlarlo y mantenerlo en buen estado.Mantener los recursos informáticos en óptimas condiciones le ayudará a desempeñar sus funciones sin retrasos ni contratiempos.Para cumplir con este objetivo, además del cuidado normal que se debe tener con cualquier equipo electrónico, no debe modificar el software ni el hardware instalado.Seguridad en los puestos de trabajo.De la seguridad en los puestos de trabajo depende en gran parte el nivel de la Seguridad Informática de la UAEAC. Por esta razón se presentan unas prácticas básicas de fácil ejecución que ayudan a mantener los puestos de trabajo en los niveles adecuados de seguridad y que le permitirán conservar los recursos informáticos bajo su responsabilidad, en las condiciones en que le fueron entregados.A continuación se dan unas guías para mejorar la seguridad en sus puestos de trabajo.

Cuándo se vaya a ausentar por corto tiempo bloquee su sesión, de lo contrario apague el computador.

Uno puede pensar que no va a pasar nada si va al baño y deja la sesión abierta, pero la realidad es que en un minuto pueden ocurrir muchas cosas en su computador como por ejemplo copiar información importante, consultar su correo electrónico, borrar información, enviar un correo electrónico en su nombre, etc.

Nunca deje documentos sobre su escritorio, guárdelos en gabinetes con llave.

Documentos, disquetes y apuntes entre otros, pueden llegar a manos equivocadas, lo cual genera un gran riesgo para la UAEAC y más aún cuando la información contenida en ellos es sensible.

No digite su contraseña si sospecha que está siendo observada.

Las contraseñas son personales y tienen el caracter de confidencial. Si su contraseña fuera conocida por alguien, este podría revisar su correo, suplantarlo, tener acceso a la información que usted maneja e incluso atentar contra su buen nombre haciendo mal uso de los recursos informáticos que están bajo su responsabilidad.

12


Si observa actividad sospechosa en algún puesto de trabajo denúnciela a Seguridad Informática.

Un candado puede ser la solución para la pérdida de memoria

Ciertos computadores permiten en la parte de atrás la instalación de un candado que impide que el equipo sea abierto y en consecuencia, que le sean hurtados elementos de hardware, por ejemplo memoria, procesador, discos duros, etc.

8.3 ANEXO - CONTRASEÑAS – COMO ELEGIRLAS, DÓNDE CAMBIARLAS

La contraseña debe de ser fácil de recordar, de manera que no haya que escribirla o guardarla en un archivo en el equipo. Conviene elegir una contraseña que:- Tenga 8 o más caracteres.- Combine mayúsculas, minúsculas y números.- No figure, o tenga probabilidad de figurar, en un diccionario.- Sea difícil de adivinar: nunca use el nombre de la pareja, hijos, mascota, matrícula del coche, fecha de nacimiento, código postal, etc. etc.

Conviene usar una frase en vez de una palabra como contraseña, porque es más difícil de adivinar. Cuando se manejan diferentes sistemas que requieren una contraseña para cada sistema, nunca hay que repetir la misma contraseña para diferentes sistemas. Tampoco usar contraseñas "recicladas", que tienen pequeños cambios para cada sistema (p ej. "pepito1" para el sistema 1, y "pepito2" para el sistema 2)Por supuesto, no se debe revelar la contraseña a nadie, tampoco escribirla ni tenerla registrada en ninguna parte más que en la propia cabeza.

8.3 ANEXO - LA SEGURIDAD INFORMATICA. LOS USUARIOS Y LAS EMPRESAS SIEMPRE EN ALERTA

A menudo tendemos a referirnos a la seguridad informática haciendo hincapié en la importancia del usuario en la misma, en la importancia de sus hábitos, sus costumbres, sus usos e incluso los programas que adquiere para llevar a cabo la protección total de su sistema.No es poco frecuente apelar a la responsabilidad del usuario medio para evitar que un virus peligroso se propague o para alertar de los riesgos que un agujero de seguridad

13


descubierto en un programa puede provocar, no solo para ese usuario en concreto sino para el resto de la comunidad online. Las empresas, autoridades y blogs de internet suelen poner siempre el dedo en la yaga alertando a cada uno de sus lectores o ciudadanos sobre la importancia de mantener una correcta y continua protección contra sus ordenadores.

Sin embargo, y admitiendo que, lógicamente este punto es fundamental y vital en la organización y mantenimiento de una internet lo más saludable posible, no podemos obviar ni olvidar la importancia que la seguridad tiene también desde las propias empresas, es decir, desde los usuarios de más alto rango de la red de redes. De nada servir mantener a un usuario informado, preparado y alerta si a continuación las grandes cabezas pensantes comenten errores infantiles que ayudan, no solo a la propagación de virus y demás sino a la existencia de productos finales vulnerables que terminan llegando a nuestros ordenadores.

Durante la reciente Bsecure Conference, ante más de 120 asistentes, Jesús Torrecillas, consultor de seguridad de Cemex hizo hincapié en algunos los errores que cometen las empresas a la hora de diseñar sus políticas de seguridad, destacando algunos como:

1. Utilizar gente sin experiencia para el ámbito de la seguridad.

2. Poco conocimiento sobre la seguridad integral.

3. Fiarse demasiado de cierto tipo de medios de seguridad, obviando otros.

4. Externalizar la seguridad de la empresa.

5. No dar soluciones a largo plazo sino parches a corto.

Y un largo etcétera que nos sirve como ejemplo para llamar la atención sobre la importancia de que la seguridad empiece por las propias empresas y continúe, de manera clara y contundente, en los usuarios finales.

9. REFERENCIA BIBLIGRAFICAhttp://www.securia.es/forja/index.php?option=com_content&task=view&id=20&Itemid=1

http://www.securia.es/forja/index.php?option=com_docman&task=cat_view&gid=13&&Itemid=3

http://muyseguridad.net/2012/09/18/smart-pc-locker-y-bloquea-tu-windows-bien-bloqueado/

http://ebookbrowse.com/expired-password-reset-tutorial-pdf-d232045489

http://expired-password.winsite.com/

14

http://expired-password.winsite.com/

http://ebookbrowse.com/expired-password-reset-tutorial-pdf-d232045489

http://muyseguridad.net/2012/09/18/smart-pc-locker-y-bloquea-tu-windows-bien-bloqueado/

http://www.securia.es/forja/index.php?option=com_docman&task=cat_view&gid=13&&Itemid=3

http://www.securia.es/forja/index.php?option=com_content&task=view&id=20&Itemid=1

grupo 1 responsabilidad de usuario

Documents