Universidad Catlica de Pereira Facultad De Ciencias Bsicas e Ingeniera

Ingeniera de sistemas y Telecomunicaciones Seguridad Informtica Taller 1

HASSEL DANIEL TORO FRANCO WILDER JOHAN QUINTERO CORREA YEISON SAMIR AGUIRRE QUINTERO JORGE ANDRES RAMIREZ TREJOS

DOCENTE. ING. JULIO CESAR CANO

TECNOLOGIA EN SISTEMAS V SEMESTRE

Universidad Catlica de Pereira Facultad De Ciencias Bsicas e Ingeniera

Ingeniera de sistemas y Telecomunicaciones Seguridad Informtica Taller 1 Objetivo: Realizar la siguiente lectura, en su grupo de trabajo, debe analizar cuales aspectos pueden ser los ms complejos de tener en cuenta a nivel de seguridad personal y corporativa, igualmente deben escoger uno de los diez puntos y determinar a nivel de hardware y software etc los requerimientos para su implementacin, igualmente se debe plantear otra prctica que ustedes consideren importante y que no est en la lectura. Hoy, la tendencia es alinearse con mejores prcticas para construir una estrategia de seguridad exitosa. He aqu las 10 ms importantes. Las exigencias cada da son mayores para los responsables de la seguridad informtica de las compaas. Y es que hoy, ya no basta con mantener una estrategia reactiva de proteccin. Los tiempos demandan pro actividad, alineacin con el negocio; en resumen: escaparse del entorno de los fierros para ser ms estratgicos. Cumplir con todo esto se antoja difcil s, sin embargo, los encargados de seguridad tienen a su disposicin para enfrentar dichas demandas a unas eficaces aliadas, las mejores prcticas.

1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnologa a implementar y las polticas a seguir para la proteccin de una empresa, resulta fundamental analizar cules son los objetivos del negocio, sus procesos prioritarios, los activos ms importantes, los datos ms crticos; porque slo as se asegurar de forma robusta aquello que realmente es importante para el funcionamiento de la compaa. Si se quieren colocar controles sin conocer qu se va a proteger, cules son los procesos, las reas, los sistemas relevantes; se corre el riesgo de perder el rumbo. Por lo tanto, conviene tomarse el tiempo necesario para analizar todos estos puntos y tambin para identificar las regulaciones que afectan al negocio, el cumplimiento normativo, disposiciones locales e internacionales y el marco interno de polticas y procedimientos de la empresa. 2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qu es lo prioritario dentro del negocio, conviene hacer un anlisis de riesgos y vulnerabilidades para establecer de forma clara cules son las amenazas a los activos crticos de la organizacin. Slo que en este anlisis no se debe olvidar considerar tanto infraestructura como procesos y personal. En el mapa de riesgos debe ubicarse, por ejemplo, qu personas no tienen los conocimientos suficientes como para operar los sistemas sin comprometerlos o quines son negligentes o descuidados, afirma Francisco Puente, CEO de GCP Global. Cmo identificar esto? Una alternativa es evaluar al personal respecto a cmo maneja el intercambio de informacin o sus contraseas. La manera comn es aplicar pruebas y ver cmo ejecutan los procedimientos, pero hay otras opciones para llegar realmente al

Universidad Catlica de Pereira Facultad De Ciencias Bsicas e Ingeniera

Ingeniera de sistemas y Telecomunicaciones Seguridad Informtica Taller 1 fondo de su cultura de proteccin, una de stas es: decirles que compartir los passwords no es tan riesgoso y ver cul es su reaccin, indica Puente. 3. Disear un plan o programa estratgico de seguridad de la informacin. Tomando como punto de partida el anlisis de riesgos, hay que elaborar un plan, con sus debidas metodologas y prcticas, pero alineado con el de la compaa, para que todo lo hecho por el rea de seguridad vaya en sentido de las iniciativas del negocio. Esto porque en ocasiones se pone foco en aspectos que realmente no le agregan valor a la organizacin. En algunas empresas sucede que el rea de seguridad gasta mucho en la parte perimetral y luego resulta que en realidad eso no le aporta tanto a la firma . Por eso es conveniente buscar esta alineacin con el negocio, as como tambin lo es fijar al plan de proteccin un ciclo de vida y basarlo en estndares 4. Definir e implementar polticas y lineamientos de seguridad. Una prctica muy importante es establecer reglas y lineamientos para el manejo seguro de la informacin, los sistemas y los procedimientos de la empresa. Dichas polticas deben transmitirse e implementarse a travs de estructuras jerrquicas y no slo colocarlas en un repositorio de datos, sin darles el contexto debido. Pero ojo, las polticas que se establezcan deben ser flexibles, cuando as convenga, para no entorpecer el funcionamiento de la organizacin ni afectar el trabajo de los usuarios internos. Cada lineamiento debe establecer las consecuencias de no seguirlo y frente a cualquier desacato se debe aplicar la sancin correspondiente, porque de lo contrario las polticas se vuelven libros muertos, que nadie respeta La cadena de seguridad no empieza ni termina dentro de la organizacin, viene desde los proveedores y abarca a los clientes, apunta Zamora. Por lo tanto, hay que considerarlos e incluirlos en las polticas para el manejo seguro de la informacin y los procesos del negocio. 5. Capacitar para asegurar. Los entrevistados coinciden en que hoy una de las mejores prcticas es educar y capacitar a los miembros de la organizacin respecto a las amenazas y a la conveniencia de acatar las polticas de proteccin para no abrir vulnerabilidades.

Universidad Catlica de Pereira Facultad De Ciencias Bsicas e Ingeniera

Ingeniera de sistemas y Telecomunicaciones Seguridad Informtica Taller 1 Esto no se logra organizando campaitas generales de concientizacin, es necesario ir mucho ms all. Entre quienes se identific (en el anlisis previo de la situacin general de la organizacin) que son personal de riesgo, por su falta de cultura de seguridad o su negligencia, es necesario iniciar una labor de concientizacin. En cuanto a aquellos que tienen acceso a informacin crtica para el negocio, lo ms adecuado es brindarles la capacitacin necesaria respecto a cmo manejarla. Lo correcto es empezar con las reas y personas de mayor riesgo, debido a la informacin que manejan, y tener un nfasis constante en ellas. Despus hay que irse a la concientizacin a nivel compaa, porque de una u otra forma todos tienen acceso a datos, aunque lo conveniente es avanzar por grupos o reas e incorporar el tema de seguridad en los cursos de induccin, para incluir a los nuevos empleados. Adems, hay que considerar que las plticas y cursos no son la nica forma de transmitir las polticas ni de educar a los empleados. Se pueden enviar mensajes en protectores de pantalla, a travs de la intranet, etctera. 6. Conformar un equipo y un comit de seguridad. Formalizar la funcin del oficial de seguridad es una prctica muy recomendable hoy en da. Pero hay que considerar que este personaje requiere un equipo de trabajo, conformado por especialistas en la materia y con conocimientos en diferentes campos de la misma. Idealmente, este equipo debe ser independiente del departamento de informtica, porque si esta funcin se integra dentro del rea de sistemas, probablemente se caer en el dilema de operar o asegurar. En cuanto a la cuestin de a quin le reporta el rea de seguridad, lo ideal es que sea a la direccin general, porque el director de sistemas est demasiado absorto en los temas operativos como para darle el peso necesario a las cuestiones de proteccin. Adems, si hay oportunidad, tambin es una buena prctica crear un comit de seguridad, en el que se incluya a miembros de las diferentes reas de la organizacin y a representantes de la alta direccin, para entre todos delinear qu es lo ms importante a cubrir y ejecutar en esta materia 7. Desarrollar aplicaciones seguras desde su origen. El software que las compaas diseen, ya sea externa o internamente, debe contemplar cuestiones de seguridad, para que desde el origen cuente con la mayor proteccin posible frente a amenazas. Esto que pareciera tan bsico es algo que todava se est descuidando. Los programas y las aplicaciones de desarrollo in house (e incluso los comerciales) se disean sin considerar los factores requeridos para su proteccin, lo cual se convierte en una de las principales causas-raz de los incidentes. Una manera de enfrentar este problema es establecer una mayor colaboracin entre quienes se encargan de desarrollar las aplicaciones y el personal encargado de la seguridad informtica.

Universidad Catlica de Pereira Facultad De Ciencias Bsicas e Ingeniera

Ingeniera de sistemas y Telecomunicaciones Seguridad Informtica Taller 1 En Estados Unidos ya es ms frecuente que el personal de desarrollo de software se rena con el de seguridad para establecer en conjunto los lineamientos que en esta materia deben cumplir las aplicaciones y ejecutar las pruebas correspondientes en la infraestructura. De manera que convendra empezar a dotar de ms peso a este trabajo conjunto e incluso, transformarlo en un estndar tanto para las empresas de software comercial como para aquellas que hacen desarrollos in house. 8. Mantener bajo control al outsourcing. Todas las actividades desarrolladas en outsourcing deben bajarse a niveles de servicio para medirlos, ya sea de forma cuantitativa o cualitativa (la opinin de los usuarios respecto a esto), porque muchas empresas estn utilizando este esquema, pero sin aplicar los controles adecuados. La periodicidad de estas evaluaciones depender del tipo de servicio involucrado. La atencin a los incidentes debe medirse frente a cada uno de estos, pero otras cuestiones pueden calificarse cada mes, cada 60 das o mnimo cada seis meses

9. Medir el nivel de seguridad en la compaa. Para conocer el avance de la estrategia de proteccin, y ver si los objetivos se estn cumpliendo, es necesario medir su progreso, a travs de mtricas, con las que se evale tecnologa, procesos y personas. Las alternativas para esto son muchas y muy variadas. Se puede evaluar el proceso de administracin de incidentes, las vulnerabilidades, el control de versiones y el grado de conciencia del personal, por ejemplo. Tambin es posible recurrir a mediciones del nmero de deficiencias identificadas en la ltima auditora, el nmero de polticas que no se cumplen, los usuarios capacitados o la cifra de alertas procesadas. Los resultados de todo esto deben comunicarse a la alta direccin, porque sus miembros necesitan saber cmo evoluciona la seguridad de la informacin. Pero hay que plasmar los avances de forma sencilla. Lo ms conveniente es llegar con una presentacin corta y decir: en aplicaciones crticas estamos as; en operaciones de esta forma, o bien se pueden utilizar semforos, para mostrar el avance de la estrategia y el estado de los activos, expresa. Lo ms recomendable es que el encargado de seguridad reporte cada mes a la alta direccin, el avance de su estrategia, porque adems el seguimiento debe ser contino. Algo que ayuda a esto es el monitoreo, para tener una fotografa de la infraestructura, tanto en configuraciones, como en aplicaciones y equipos. R/. A nivel de hardware establecer un servidor alterno al general de la empresa, para dar viabilidad a los servicios de seguridad sin interrupcin y as mejor su efectividad para ejecutar el software de medicin y control de alertas por irrupciones al sistema o fallas del personal en el manejo de la informacin.

Universidad Catlica de Pereira Facultad De Ciencias Bsicas e Ingeniera

Ingeniera de sistemas y Telecomunicaciones Seguridad Informtica Taller 1 10. Definir y probar un Plan de Recuperacin en Caso de Desastres (DRP). Ya est ms que permeada entre las compaas la conveniencia de establecer estrategias de continuidad para el negocio. Y aunque la mayora de las organizaciones no dispone de un site alternativo, si cuentan con los respaldos suficientes para recuperar su informacin. Sin embargo, ya sea que se opte por implementar un DRP completo y en forma o haya que respaldar slo algunos componentes, incluso en el mismo edificio, conviene considerar ciertos factores para no toparse despus con sorpresas. Unos de estos aspectos son: validar que los sistemas de contingencia funcionan adecuadamente y estn actualizados, as como comprobar que los procesos y la informacin se pueden recuperar. Adems es necesario hacer una anlisis de impacto al negocio, para ver si realmente se est respaldando y recuperando lo verdaderamente importante y si se han contemplado todos los escenarios posibles, porque en muchos casos esto se omite. Lo que se hace es algo ms tcnico y sustentado slo en el sentido comn, se evalan servidores o aplicativos y se procede a protegerlos, pero el 90% de las compaas no realiza un verdadero anlisis de impacto al negocio para ver qu debe contemplar su DRP o su plan de continuidad. Algo que tampoco se debe pasar por alto en todo esto es alcanzar los niveles de servicio esperados por la direccin en los sistemas y procesos recuperados, as como tener bien establecido el tiempo tolerable por la directiva para tener fuera un sistema o proceso. Por supuesto, no es necesario implementar al pie todas estas prcticas, porque las recetas no existen en esto, cada empresas deber utilizar las que le sean ms funcionales e incluso otras. 11. Implementacin de restricciones para almacenamiento de informacin en

dispositivos portables y en la nube. Como es conocido y evidenciado en la actualidad, el transporte de informacin en dispositivos mviles, USB, discos duros portables, DD on line y conexiones a escritorios remotos, es manejado por los usuario con gran facilidad, el cual se amarra ms a una actividad oportuna de realizar; que a una necesidad, en la mayora de los casos. Puesto que los recursos dados por la empresa requieren tomar este tipo de opciones con el fin de no establecer situaciones de vnculo permanente en las instalaciones de las

Universidad Catlica de Pereira Facultad De Ciencias Bsicas e Ingeniera

Ingeniera de sistemas y Telecomunicaciones Seguridad Informtica Taller 1

mismas. Por tal motivo, se puede dar la situacin en la que se incurra en faltas graves de seguridad al momento de retirar informacin privada de la empresa, la cual contenga puntos estratgicos y/o procesos de nico inters. Con base en lo anterior, se puede establecer un procedimiento de seguridad el cual no permita retirar informacin del ordenador por cualquiera de los posibles medios antes mencionados.