UNIVERSIDAD NACIONAL AUTONOMA

DE HONDURAS

FACULTAD DE INGENIERIA

Asignatura: Seguridad informática

Tarea: Examen (políticas de seguridad)

Catedrático: Ing. Rafael Díaz del Valle

Alumno: Josué Efraín Cortéz Padilla

Cuenta: 20041002030

Ciudad Universitaria, 18-abril-2008

 CONTENIDO

• Introducción

• Definiciones

• Objetivos

• Políticas de seguridad

• Bibliografía
 INTRODUCCION
El siguiente informe trata sobre la gestión de la información realizando
las tareas necesarias para garantizar los niveles de seguridad exigibles
en la empresa, que brinda un servicio de canales dedicados y servicios
de internet.

• La seguridad constituye una gran preocupación para esta empresa

en todas las redes, pero
resulta fundamental para las redes de comercio electrónico, en
nuestra empresa hay dos sistemas de información con acceso a
internet, en las que se realizan transacciones financieras, se
monitoreo y controla el acceso a las antenas instaladas y por otro
lado se almacena información importante. Por este motivo, se
convierte en blanco de los ataques malintencionados organizados
a través
de Internet. Las infracciones de seguridad pueden ir desde
pequeñas intrusiones pasando por infiltraciones molestas hasta
llegar a situaciones graves, caras y desastrosas. La seguridad es
uno de los aspectos más importantes de una solución de comercio
electrónico. Si no se establece una seguridad férrea, la información
confidencial de los clientes, como los números de tarjeta de
crédito y las direcciones particulares completas, puede estar en
peligro. Los efectos de una infracción de seguridad pueden
provocar que los clientes tengan menos confianza así como
pérdidas importantes en el negocio.

• La seguridad de la información se define como la preservación de:

Confidencialidad. Aseguramiento de que la información es
accesible solo para aquellos autorizados a tener acceso.
Integridad. Garantía de la exactitud y completitud de la
información y de los métodos de su procesamiento.
Disponibilidad. Aseguramiento de que los usuarios autorizados
tiene acceso cuando lo requieran a la información y sus activos
asociados.
 DEFINICIONES

• Activo: Recurso del sistema de información o relacionado con

éste, necesario para que la organización funcione correctamente y
alcance los objetivos propuestos por su dirección.
• Amenaza: Evento que puede desencadenar un incidente en la
organización, produciendo daños o pérdidas materiales o
inmateriales en sus activos.
• Riesgo: Posibilidad de que una amenaza se materialice.
• Impacto: Consecuencia sobre un activo de la materialización de
una amenaza.
• Control: Práctica, procedimiento o mecanismo que reduce el nivel
de riesgo.

OBJETIVOS

El objetivo principal de este trabajo es proporcionar un informe detallado

sobre las políticas de seguridad necesarias en lo tecnológico, físico,
control de acceso, también en cuanto al personal que labora en la
empresa, entre otros.

Algunas consideraciones.
 1. Los problemas de seguridad no son únicamente de índole
tecnológico.
2. Los riesgos no se eliminan… se gestionan.
3. La seguridad no es un producto, es un proceso.

POLITICAS DE SEGURIDAD
SISTEMA DE CONTABILIDAD

• La información personal de los clientes en el sistema de

contabilidad es algo confidencial de la empresa.
• No se permite la salida de información en ningún dispositivo de
almacenamiento.
• Cuando se realice un cambio o renovación de personal en un nivel
de administrador de base de datos o redes se deben cambiar todo
tipo de contraseñas.
• Los usuarios deben estarse actualizando y educando para el uso
de nuevas tecnologías ya sea cuando la empresa se lo
proporcione o por su parte.
• Los usuarios deben notificar problemas incidentes a la persona
indicada.
• Optar por nuevas tecnologías para redes o software cuando estos
comiencen a quedar rezagados.
• En caso de alguna falla de software y/o hardware el usuario no
debe intentar solucionar el problema la responsabilidad es de la
persona encargada de las reparaciones o afines.
• La seguridad del perímetro debe estar resguardada con puertas y
candados del un tamaño regular, lo mas recomendable es el uso
de alarma.
• Evitar el acceso a personas no autorizadas.
• La relación con los demás departamentos de la organización debe
ser plana, y cuando haya solicitudes de información, debe tener
respuesta rápida, cuidadosa y precisa.
• Mantener un inventario de los datos actualizado y protegido.
• Prevenir la pérdida, modificación o mal uso de la información entre
los diferentes departamentos de la organización.
 • Evitar accesos no autorizados a los sistemas de información.
• Evitar accesos no autorizados a las computadoras, impresoras,
escáner, fotocopiadora, etc.
• Reaccionar inmediatamente cuando halla una falla pequeña o
grande del sistema por parte de la persona encargada.
• Obtener equipos o dispositivos para guardar o salvar la
información ante cualquier falla del sistema.
• Capacitación a usuario contra ingeniería social.

SISTEMA DE VENTAS

• Cuando se realice un cambio o renovación de personal en un nivel

de administrador de base de datos o redes se deben cambiar todo
tipo de contraseñas y configuraciones avanzadas de routers,
switches, etc.
• Evitar accesos a los sistemas de información aun y cuando sea
personal de la empresa debe estar autorizado para tener acceso.
• Cada nivel de usuarios debe conocer solo los derechos y
obligaciones que le competen a el.
• Las contraseñas de usuarios con acceso a internet deben tener un
buen nivel de seguridad para evitar ser obtenidas por terceros.
• El administrador del router lo hará en forma local, negando todo
tipo de acceso remoto.
• Se debe contar con tecnologías adecuadas de redes, cortafuegos,
antivirus, etc.
• El administrador de la red debe tener conocimientos fuertes sobre
hacking, exploit, cracking de contraseñas, ingeniería social,
sistemas operativos, hardware, etc.
• Los reportes de las ventas deben ser específicos y presentados a
las personas adecuadas y con autoridad para tener acceso a el.
• Educar a los usuarios sobre los efectos drásticos que puede causar
la ingeniería social.
• Mantener la relación con otras divisiones de la empresa, también
con oficinas en diferentes ubicaciones geográficas de la empresa,
pero siempre con cautela de las solicitudes de información por el
internet.
• Mantener una seguridad adecuada sobre los activos de la
organización.
 • Asegurar un nivel de protección adecuado a los activos de
información.
• Educar a los usuarios que sean consientes de las amenazas y
riesgos en el ámbito de la seguridad de la información, y que están
preparados para reportar cualquier anomalía en el sistema en el
curso de su trabajo.
• Prevenir las exposiciones a riesgo o robos de información y de
recursos de tratamiento de información.
• Las áreas de trabajo y sus activos deben ser clasificadas y
protegidas en función de su criticidad, siempre de una forma
adecuada y frente a cualquier riesgo factible de índole física (robo,
inundación, incendio...).
• El perímetro debe ser muy bien resguardado con puertas y
candados si es necesario alarmas.

SISTEMA DE MONITOREO Y CONTROL DE ACCESO

• Evalúa cada dispositivo, decidir los tipos de tráfico permitidos y se

desarrolla un modelo de seguro para bloquear el resto del tráfico.
• Permitir tráfico en los puertos 80 y 443. Si algún usuario no
autorizado intenta tener un acceso no autorizado desde Internet,
sólo puede probar en dichos puertos.
• Limitar cada host sólo a las tareas que necesita realizar. De este
modo, se crea otra barrera de seguridad que un intruso tendría
que derribar antes de provocar daños.
• Garantizar que sólo determinados dispositivos identificados de la
red permiten la conectividad de acceso remoto. Una utilidad de
barrido de módem comprueba todos los prefijos de la compañía en
busca de dispositivos no autorizados.
• Minimizar el riesgo de fallos en los sistemas.
• Asegurar la salvaguarda de la información de las redes y la
protección de su infraestructura de apoyo.
• Detectar las actividades no autorizadas.
• Evitar perdidas, modificaciones o mal uso de los datos de usuario
en las aplicaciones.
• Proteger el perímetro de las antenas y la red que controla dichas
antenas con puertas, candados, alarmas, y cámaras de seguridad,
 por cualquier intento de robo, alteración y hasta una fallo de
sistema.
• Reaccionar rápidamente ante cualquier reporte de fallo o caída del
servicio prestado.
• El administrador de redes de esta área debe ser una persona bien
preparada académicamente con conocimientos amplios sobre
configuraciones de redes, ataques de hackers, entre otros.
• Los usuarios deben tener conocimientos de las tecnologías de
redes.
• Los usuarios deben ser actualizados de los efectos delos ataques
del exterior e interior de la organización y el efecto de la ingeniería
social.
• El router de acceso debería ser uno, en particular aislado de la red,
de no ser posible se debería contar con más de una interfaz para
configurar distintas listas de acceso en cada una de ellas.

BIBLIOGRAFIA

• www.monografias.com
• www.rfc.net/rfc2196.html
 • www.s2grupo.com
• www.secury-policy.org
• www.microsoft.com/security
• www.isaca.org/cobit